Au cours des dernières années, les consommateurs de tous les secteurs verticaux de l’industrie sont devenus de plus en plus à l’aise et satisfaits des expériences numériques. Selon un sondage réalisé par Telus International, plus de 70 % des Américains prévoient de continuer à magasiner, à effectuer des opérations bancaires et à participer à des activités de santé et de bien-être en ligne.[1]. Simultanément, un rapport Norton a montré que les consommateurs exprimaient des inquiétudes concernant la confidentialité et la sécurité des données, 58 % des adultes déclarant qu’ils craignaient plus que jamais d’être victimes de cybercriminalité.[2].
Les organisations qui souhaitent augmenter leurs sources de revenus doivent offrir des expériences client conviviales, mais cela laisse de nombreux professionnels de la sécurité et de l’identité du mal à trouver un équilibre entre la facilité d’utilisation et la sécurité. Fournir un authentification sans mot de passe l’expérience de WebAuthn et de FIDO peut résoudre les deux problèmes, offrant aux organisations la solution gagnant-gagnant dont elles ont besoin pour rester compétitives.
De nouvelles solutions pour un nouveau monde numérique
L’adoption de nouvelles expériences client oblige les organisations à adopter de nouvelles solutions de gestion des identités et des accès des consommateurs (CIAM). Les solutions traditionnelles de gestion des identités et des accès (IAM) se concentrent sur l’accès des utilisateurs internes aux ressources. Cependant, ils n’ont souvent pas la capacité de gérer les consommateurs, les partenaires, les citoyens et les autres utilisateurs non professionnels.
Les outils IAM permettent aux organisations d’autoriser et d’authentifier les utilisateurs en s’appuyant sur une documentation interne validant l’identité. Par exemple, lorsqu’une organisation fournit un accès au droit de naissance à un nouvel employé, elle utilise des documents juridiques pour prouver que la personne est bien celle qu’elle prétend être. L’organisation a un contrôle total sur ce à quoi l’utilisateur peut accéder, sur les appareils qu’il peut utiliser et sur la manière dont il peut accéder aux ressources.
Avec les expériences client numériques, l’organisation n’a aucun contrôle sur ces facteurs. La plupart des expériences client utilisent l’auto-inscription où la personne fournit un nom d’utilisateur ou une adresse e-mail et un mot de passe. De plus, les consommateurs peuvent utiliser plusieurs appareils avec différents systèmes d’exploitation et paramètres de sécurité pour interagir avec la technologie de l’organisation.
CIAM ajouterrCeux ces différents problèmes de sécurité, offrant aux organisations la technologie dont elles ont besoin pour garantir une expérience simplifiée et une sécurité robuste qui protège le consommateur.
Le problème des mots de passe
Les mots de passe présentent une pléthore de problèmes. Bien que l’IAM puisse atténuer certains de ces problèmes pour les utilisateurs de la main-d’œuvre interne, il n’a pas la capacité de sécuriser l’authentification des clients.
Hygiène des mots de passe
Pour protéger les systèmes contre les attaques basées sur les informations d’identification, les organisations établissent et appliquent des politiques de sécurité des mots de passe pour leurs employés. De plus, étant donné que le nombre d’employés d’une organisation est relativement limité, elle peut fournir aux employés des gestionnaires de mots de passe ou des assistants de mots de passe.
Cependant, ils ne peuvent pas mettre ces contrôles en place avec les clients. Ils peuvent être en mesure d’implémenter la force du mot de passe, mais ils ne sont pas en mesure de garantir que le mot de passe est unique ou que le client dispose d’un gestionnaire de mots de passe, d’un assistant ou d’un trousseau de clés.
Protections d’authentification
Pour se protéger contre les attaques basées sur les informations d’identification pilotées par des bots, de nombreuses organisations utilisent des mécanismes supplémentaires. Certaines protections courantes incluent :
- Codes d’accès SMS à usage unique (OTP)
- Questions de sécurité basées sur les connaissances (KBA)
- CAPTCHA
Celles-ci posent deux problèmes distincts pour les expériences des consommateurs. Première, les attaquants peuvent trouver une solution de contournement lorsqu’ils souhaitent déployer une attaque. Deuxièmement, ils frustrent les consommateurs, ce qui peut entraîner des transactions abandonnées et des désabonnements.
Les avantages du sans mot de passe avec CIAM
De nombreuses organisations adoptent déjà des technologies sans mot de passe pour équilibrer la sécurité et l’expérience client en commençant par le premier contact et en continuant tout au long du parcours. De plus, la bonne solution CIAM répondra aux besoins des parties prenantes internes, telles que les propriétaires de produits numériques et les spécialistes du marketing.
Personnalité de la marque : L’expérience client est souvent la raison psychologique pour laquelle les consommateurs sont fidèles à une entreprise. Par conséquent, l’expérience du consommateur doit s’aligner sur la personnalité de la marque autant qu’elle doit protéger les consommateurs.
Les technologies sans mot de passe du CIAM peuvent renforcer la marque de l’organisation en :
- Offrir une gamme complète de méthodes sans mot de passe pour authentifier tous les clients, même ceux qui ne sont pas prêts ou capables d’utiliser une biométrie
- Couplage d’appareils biométriques pour authentifier les utilisateurs sur des appareils plus anciens afin de s’assurer que tous les utilisateurs ont la même expérience
- Permettre l’accessibilité pour les personnes souffrant de handicaps cognitifs ou physiques, comme la dyslexie ou la cécité
Sécurité: En supprimant les mots de passe, ces technologies éliminent un vecteur d’attaque principal. De plus, ils offrent aux entreprises un moyen de mettre en œuvre une authentification multifacteur, même avec des utilisateurs auto-enregistrés. Les technologies créent une structure de clé publique/privée qui ajoute des mécanismes de protection plus robustes au processus de connexion.
Confidentialité et consentement : Enfin, les solutions CIAM sans mot de passe permettent aux entreprises de répondre aux exigences de conformité en matière de confidentialité des consommateurs. Ils permettent aux clients de révoquer leur consentement, de supprimer les données stockées, de demander des copies des données stockées et de se retirer des campagnes marketing.
Mettre en place la bonne solution CIAM sans mot de passe
Avec autant de types différents de technologies sans mot de passe, il peut être difficile de choisir la bonne. Voici quelques exemples d’options :
- Liens magiques
- Applications Push-to-Authenticate
- Jetons souples
- Jetons durs
- OTP SMS
Codes d’accès à usage unique basés sur le temps (TOTP
Malheureusement, chacun de ces éléments crée un certain niveau de frustration pour les utilisateurs, en particulier lorsqu’ils sont utilisés à plusieurs reprises.
Commencez avec FIDO
L’Alliance Fast Identity Online (FIDO) a développé des spécifications techniques pour définir un ensemble de mécanismes ouverts, évolutifs et interopérables pour aider à réduire la dépendance des utilisateurs aux mots de passe comme méthode d’authentification principale.
WebAuthn est au cœur de ces normes. Il utilise une technologie qui réside sur presque tous les téléphones mobiles, tablettes, ordinateurs portables et PC modernes. Lorsqu’elle est correctement mise en œuvre, l’authentification basée sur WebAuthn permet aux consommateurs de se connecter à l’aide de la technologie biométrique de l’appareil, comme les empreintes digitales ou la reconnaissance faciale.
Ils n’ont jamais à se souvenir d’un mot de passe, à attendre de recevoir un SMS ou un e-mail ou à utiliser une autre application pour s’authentifier. De plus, il est à l’épreuve du phishing et insensible aux attaques par force brute.
Prévoyez des permutations
Bien que l’objectif principal de la mise en œuvre du sans mot de passe puisse être la sécurité, les organisations doivent se rappeler que l’expérience client était le moteur commercial d’origine.
Certains scénarios à envisager incluent :
- Que se passe-t-il si un utilisateur possède un téléphone mobile moderne mais ne compte pas sur l’authentificateur biométrique intégré ?
- Et s’ils ont un vieux téléphone à clapet ?
- Qu’en est-il d’un utilisateur avec un ancien PC équipé d’un iPhone plus récent ?
- Que se passe-t-il si l’ordinateur portable le plus récent de l’utilisateur a un navigateur obsolète ou qui n’est pas compatible avec les normes FIDO ?
Une solution CIAM devrait pouvoir répondre à tous ces scénarios et bien d’autres.
Les solutions technologiques élégantes sont rarement simples. Pour l’utilisateur final, le sans mot de passe ressemble à de la magie. Tout comme un bon acte magique, les implémentations sans mot de passe nécessitent une préparation et un travail pour offrir aux consommateurs l’expérience sécurisée et facile à utiliser qu’ils souhaitent.
Chez Transmit Security, nous avons conçu des solutions qui répondent à différents scénarios dans les secteurs de la banque, de l’assurance, de la vente au détail et autres. Pour donner à nos clients les résultats souhaités, nous avons analysé et défini des parcours (flux d’identité) pour chaque scénario imaginable et appris où se situe le défi d’une bonne authentification client sans mot de passe. Nous avons appris que le sans mot de passe est une option pour chaque profil client, lorsqu’il est bien fait, tant que l’organisation planifie et gère les différents scénarios.
Prêt à dire adieu aux mots de passe ? En savoir plus sur BindID dès aujourd’hui !
Vérifiez cela. Je considère les OTP comme un jeton logiciel… ?
Source link