Qu’est-ce que l’authentification sans mot de passe et comment l’implémenter

Authentification sans mot de passe est une méthode de gestion des utilisateurs dans laquelle l’utilisateur se connecte à un système ou à une application sans utiliser de mot de passe ou de secret. Au lieu d’utiliser un basé sur la connaissance facteur (par exemple mot de passe), il valide l’identité d’un utilisateur soit la possession facteurs (par exemple compte de messagerie), ou inhérence facteurs (par exemple la reconnaissance faciale).

Cet article a été créé en partenariat avec Frontegg. Merci de soutenir les partenaires qui rendent SitePoint possible.

Il existe de nombreuses méthodes d’authentification utilisées comme alternatives aux mots de passe :

• Code à usage unique (OTC)
• Liens magiques
• Connexion biométrique (empreintes digitales, FaceID, reconnaissance vocale)
• Cartes à puce ou jetons physiques
• Certificats numériques

Popularité de l’authentification sans mot de passe

Vous utilisez peut-être déjà « l’authentification sans mot de passe » sans le savoir. De nombreuses applications bancaires utilisent la reconnaissance des empreintes digitales et de la voix pour vérifier les utilisateurs. Slack utilise des liens magiques pour authentifier les utilisateurs.

L’utilisation de l’authentification sans mot de passe n’a cessé de croître au cours des dernières années. Auth0, un fournisseur d’authentification, prédit que l’authentification sans mot de passe dépasser l’utilisation des mots de passe d’ici 2027. Gartner a prédit que d’ici 2022, « 60 % des grandes entreprises mondiales et 90 % des entreprises de taille moyenne mettront en œuvre des méthodes sans mot de passe dans plus de 50 % des cas d’utilisation, contre 5 % en 2018 ».

De grands acteurs du web font également leurs meilleurs efforts pour accélérer l’adoption de la technologie. Lors de la Journée mondiale du mot de passe en 2022, Google, Microsoft et Apple ont annoncé leur intention d’étendre la prise en charge d’un norme commune de connexion sans mot de passe établi.
En juin 2022, Apple a annoncé son nouveau Fonction ‘Passkeys’ à utiliser pour se connecter aux sites Web et aux applications. Cette annonce signifie essentiellement qu’Apple utilisera Touch ID ou Face ID pour créer une clé numérique pour ce site Web. Cela supprime le besoin de créer et d’écrire un mot de passe.

Avantages de l’authentification sans mot de passe

L’authentification sans mot de passe offre des avantages en termes de sécurité et d’expérience utilisateur :

1. Réduit le risque de phishing et de vol de mot de passe : Les utilisateurs ne sont pas sensibles aux attaques de phishing lorsqu’ils sont dirigés vers de faux sites Web et saisissent leurs identifiants de connexion. Si un utilisateur n’entre pas de mot de passe, il ne sera pas vulnérable à attaques par force bruteles violations de données de mot de passe et d’autres types de vol d’informations d’identification.
2. Réduit la réutilisation des informations d’identification : La réutilisation de mots de passe sur plusieurs services et comptes crée un risque accru pour les utilisateurs et vos systèmes qui ne peut être évité. Ça a été signalé que 64 % des personnes ont utilisé le même mot de passe exposé dans une violation pour d’autres comptes.
3. Plus d’exercices de mémoire : Vos utilisateurs n’ont pas besoin de se souvenir des noms d’utilisateur et des mots de passe d’un si grand nombre de comptes. Parfois, ils doivent réinitialiser leurs mots de passe encore et encore après de nombreuses tentatives de connexion infructueuses.
4. Connexion plus rapide : Nous sommes tous occupés. Il est suggéré qu’un mot de passe fort comporte au moins 16 caractères et prend beaucoup de temps à taper par rapport à la numérisation d’une empreinte digitale ou à l’ouverture d’un lien magique.

Limites de l’authentification sans mot de passe

L’authentification sans mot de passe n’est pas parfaite et présente certaines limites du point de vue de la sécurité et de l’expérience.

• Expérience utilisateur inconnue : De nombreuses personnes ont l’habitude de saisir ou de remplir automatiquement des mots de passe. Un changement vers un lien magique ou OTC peut être un choc pour les utilisateurs.
• Appareils volés ou risques d’échange de cartes SIM : L’envoi de codes uniques par SMS peut rendre vos utilisateurs vulnérables si leur téléphone est volé ou s’ils sont victimes d’un Escroquerie par échange de carte SIM.
• La sécurité biométrique n’est pas parfaite : Lecteurs d’empreintes digitales, TouchID et FaceID ont été piratés avec succès au cours des années.

S’appuyer sur un seul facteur pour l’authentification, mot de passe ou non, présente toujours un certain niveau de risque. Nous vous recommandons de toujours utiliser l’authentification multifacteur (MFA) dans la mesure du possible.

L’authentification sans mot de passe est-elle sûre ?

Oui, l’authentification sans mot de passe est considérée comme sûre, mais elle n’est pas totalement sans risque. Un compte sans mot de passe n’aura pas à craindre que ce mot de passe ne tombe entre les mains d’une personne malveillante. Cela peut se produire par des violations de données, des piratages par force brute, des appareils perdus ou des post-it égarés.

De nombreux risques associés à l’authentification sans mot de passe s’appliquent de la même manière à d’autres méthodes.

Si un pirate a accès à votre compte de messagerie et que vous utilisez Magic Links pour une authentification sans mot de passe, il pourra se connecter facilement. Ce risque, cependant, est le même si vous utilisez un mot de passe normal. Le mauvais acteur aurait juste besoin de cliquer sur « réinitialiser le mot de passe » et d’envoyer le lien de réinitialisation à cette même adresse e-mail.

Enfin, comme tout autre système, un système d’authentification sans mot de passe est également vulnérable aux attaques directes visant à contourner ou à contourner les mesures de sécurité. Quelle que soit la sécurité avec laquelle vous agissez, les systèmes qui stockent et vérifient vos informations d’identification ne sont jamais complètement sûrs.

La vérification des empreintes digitales et d’autres facteurs biométriques sont beaucoup plus difficiles mais pas impossibles à tromper et offrent un moyen très sûr de vous autoriser.

Authentification sans mot de passe par rapport à l’authentification multifacteur (MFA)

L’authentification multifacteur est une méthode d’utilisation de plusieurs facteurs d’authentification lors de la connexion. Cela se produit très souvent lorsque vous vous connectez à un compte avec un nom d’utilisateur et un mot de passe, puis que vous recevez un code à usage unique (OTC) à 6 chiffres pour confirmer votre propriété de l’appareil.

Dans cet exemple, le facteur OTC est sans mot de passe. Au lieu de cela, si vous deviez utiliser une empreinte digitale et un code à usage unique, vous disposez d’une configuration MFA entièrement sans mot de passe.

Comment implémenter l’authentification sans mot de passe sur votre site Web

L’intégration de l’authentification sans mot de passe dans votre application ou votre site Web est plus facile que jamais. En fonction de votre infrastructure existante, de nombreuses options s’offrent à vous :

• Solutions de gestion des utilisateurs : Ces fournisseurs offrent un service entièrement géré qui fournit non seulement des authentifications traditionnelles et sans mot de passe, mais également la gestion des utilisateurs et la gestion des autorisations.
  • Quand utiliser: Nouvelles versions de système, startups et équipes cherchant à éviter tout le travail de développement à faible valeur et à haut risque.
  • Quand ne pas utiliser : Si vous avez un ensemble très personnalisé d’exigences d’authentification ou de gestion des utilisateurs qui peuvent ne pas correspondre à leurs systèmes.
  • Fournisseurs: Frontegg, Octa/Auth0, FusionAuth, Trusona, AppWrite

• Fournisseur de services d’authentification : Ces services fournissent l’authentification des utilisateurs, la gestion des accès et d’autres services comme la gestion des sessions.
  • Quand utiliser: Vous avez des services de gestion des utilisateurs existants et souhaitez que quelqu’un s’occupe des mots de passe et de l’authentification.
  • Quand ne pas utiliser : Vous avez une expérience ou des ressources de développement limitées. Si vous disposez d’un modèle simple de gestion des identités et des accès, vous pouvez envisager une solution entièrement gérée, comme mentionné ci-dessus.
  • Fournisseurs: AWSCognito, Plate-forme d’identité Google, Microsoft AzureAD

Authentification sans mot de passe avec React – Speedrun

Pour démontrer à quel point il est facile d’introduire des méthodes sans mot de passe pour vos utilisateurs, nous allons vous présenter un didacticiel de 5 minutes avec un fournisseur appelé Frontegg. Une plate-forme de gestion des utilisateurs autonome et de bout en bout qui, entre autres fonctionnalités de gestion des utilisateurs, fournit quelques formes de méthodes de connexion sans mot de passe.

La création de services de connexion et d’authentification prend énormément de temps et n’ajoute pas de valeur aux flux d’utilisateurs, mais peut être préjudiciable si vous vous trompez. À mesure que les services offrant une authentification deviennent meilleurs et moins chers, il ne devrait pas y avoir beaucoup de raisons de créer vos propres systèmes de validation de mot de passe pour vos applications.

1. Créez votre compte Frontegg gratuit

Crée ton Frontegg compte via leur site Web. Assurez-vous de sélectionner Magic Code ou Magic Link comme options sans mot de passe lors du processus d’intégration !

2. Démarrer le processus d’intégration

Une fois que vous avez fini de créer votre boîte de connexion et sélectionné vos méthodes sans mot de passe, vous verrez une option pour Publier sur Dev.

Frontegg utilise Environnements (Dev, QA, Staging, Production) avec des sous-domaines, des clés et des URL uniques pour vos environnements d’authentification.

Vous allez maintenant être redirigé vers une page avec un exemple de code, et plus important encore, votre `baseURL` et `’clientID`. Laissez cette page ouverte et passez à votre IDE pour l’étape suivante.

3. Créez l’application React (ignorez ceci si vous avez déjà votre propre application)

Dans votre terminal, tapez les commandes suivantes pour créer une nouvelle application Reactreact et accédez au nouveau répertoire.

npx create-react-app app-with-frontegg
cd app-with-frontegg

4. Installer et importer Frontegg

Exécutez la commande suivante pour installer la bibliothèque Frontegg React et le routeur de réaction. Vous pouvez ignorer l’installation de react-router s’il est déjà installé dans votre application.

npm install @frontegg/react react-router-dom

5. Configurer les paramètres de connexion

Dans le src/index.js fichier, ajoutez le code ci-dessous. Revenez ensuite à votre page Frontegg et recherchez `baseUrl` et ‘clientID’ dans les exemples de code.

Remarque : Ces valeurs se trouvent toujours dans la section Administration de votre espace de travail une fois ce flux d’intégration terminé.

import React from 'react';
import ReactDOM from 'react-dom'; 

import App from './App';
import './index.css';

import { FronteggProvider } from '@frontegg/react';

const contextOptions = {
  baseUrl: '## YOUR BASE URL ##',
  clientId: '## YOUR CLIENT ID ##'
};




ReactDOM.render(
    <FronteggProvider contextOptions={contextOptions} hostedLoginBox={true}>
        <App />
    </FronteggProvider>,
    document.getElementById('root')
);

6. Rediriger pour se connecter

À l’aide du hook Frontegg useAuth, vous pouvez déterminer si un utilisateur est authentifié ou non. Si l’utilisateur n’est pas authentifié, vous pouvez rediriger l’utilisateur pour se connecter via le crochet useLoginWithRedirect (comme le montre l’exemple ci-dessous).

import './App.css';

export default App;

7. Connexion

Courir npm start ou ouvert http://localhost:3000 dans votre navigateur et cliquez sur le Login bouton. Vous devriez voir vos pages de connexion et d’inscription nouvellement créées.

Remarque, il n’y a pas de champ de mot de passe ici 🎉

Cliquez sur S’inscrire, accédez à votre adresse e-mail et cliquez sur Activer mon compte.

Lorsque vous souhaitez vous connecter, vous n’aurez qu’à entrer votre e-mail, attendre que le code à six chiffres arrive et vous êtes connecté. Pas de mot de passe, pas de soucis.

Conclusion

J’espère que ce guide d’authentification sans mot de passe vous a aidé non seulement à comprendre à quel point cette technologie est accessible, mais aussi à quel point elle va devenir importante dans les prochaines années.