Discussion :

[Sandra Coret]

Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données, et réduisent également le taux de productivité moyen d'une organisation

Près de 84 % des responsables informatiques estiment que les codes de sécurité sont inefficaces lorsqu'il s'agit de sécuriser des informations. Dans une enquête récente menée par Ping Identity, une société de logiciels basée aux États-Unis, et Yubico, l'enquête portait sur de grandes entreprises basées aux États-Unis d'Amérique, en Australie et en Europe.

Selon les experts en informatique, les mots de passe posent non seulement des risques potentiels pour la sécurité, mais ils réduisent également le taux de productivité moyen d'une organisation. Il a été constaté qu'un travailleur moyen utilise son mot de passe près de douze fois par jour, tandis que 25 % des employés utilisent leur code d'accès plus de vingt fois par jour. D'autres recherches ont montré qu'en moyenne, près de 33 % des demandes d'aide reçues sont liées aux mots de passe et à la connexion.

En conséquence, les responsables concernés ont constaté une augmentation de 30 % de ces incidents de sécurité. Si ces entreprises utilisent une option sans mot de passe, elles peuvent facilement sécuriser près de 28 minutes du temps de leurs employés, puisqu'ils ne passeront pas une minute à utiliser des codes d'accès difficiles pour se connecter.

Toutefois, les spécialistes en informatique s'inquiètent de la création de codes de sécurité par les utilisateurs eux-mêmes. Cinquante pour cent des spécialistes estiment que les codes créés par les utilisateurs eux-mêmes ne sont pas assez solides, et 91 % des participants à l'enquête craignent que leurs codes ne soient dérobés.

Au vu des cybermenaces qui ne cessent d'évoluer, il semble que les mots de passe ne suffisent plus pour sécuriser les informations. Afin d'assurer une protection maximale, il convient d'explorer de nouvelles voies.

Interrogés sur les nouvelles méthodes de réduction des codes de sécurité, près de 93 % des spécialistes des technologies de l'information ont déclaré que leur entreprise envisageait d'adopter de nouveaux changements, 65 % étaient presque prêts à accepter le changement et 19 % avaient des plans en place.

On s'attend à ce que la méthode d'authentification sans code de sécurité permette aux organisations de faire des économies. Elles n'auront pas à payer pour la sécurité ; moins de support sera nécessaire ; et une expérience plus conviviale sera créée. Non seulement les employés, mais aussi les clients n'auront plus à se souvenir de leurs mots de passe complexes pour se connecter à leurs profils respectifs.

Source : Ping Identity

Et vous ?

Trouvez-vous cette étude pertinente ?
Quel est votre avis sur la connexion sans mot de passe ?

Voir aussi :

Les connexions sans mot de passe pourraient arriver plus tôt que prévu, 84 % des professionnels de l'informatique estimant que c'est un objectif qu'ils doivent absolument atteindre

Un système sans mot de passe donnera-t-il trop de pouvoir aux grandes entreprises technologiques ? La FIDO Alliance tente de rendre les mots de passe obsolètes

WebAuthn : le W3C et l'Alliance FIDO finalisent la norme pour les connexions sans mot de passe, et appellent les sites et entreprises à l'adopter

90 % des internautes craignent que leurs mots de passe soient piratés - comment les utiliser en toute sécurité, tant pour les entreprises que pour les particuliers, d'après Ping Identity

[GLDavid]

Bonjour

Ping Identity... J'ai eu à utiliser leur solution de connexion pour une presta chez une big pharm. C'est un temps fou perdu! Déjà, on nous demande toujours les mots de passe ! Donc, c'est bien beau de nous faire dire que les mots de passe c'est obsolète mais quand on propose juste des nombres aléatoires et uniques à rentrer en plus des mots de passe, j'appelle pas ça un bénéfice. Bref, ces gens font leur pub (pour un produit que je recommande pas tant leur procédure d'authentification est effroyablement longue et requiert des installations de logiciels sur tous les supports que vous utilisez).
Alors, quoi pour remplacer les mots de passe? La reconnaissance faciale, digitale ou de l'oeil? Je n'aimerais pas qu'un serveur stocke mes données biométrique (remarquez, ça existe déjà). Mon numéro de sécurité sociale? et pourquoi pas mon ADN?
Non, pour moi un mot de passe, c'est comme votre code de carte bancaire. A vous de le retenir sinon tant pis pour vous.

@++

[JPLAROCHE]

Bonjour

Ping Identity... J'ai eu à utiliser leur solution de connexion pour une presta chez une big pharm. C'est un temps fou perdu! Déjà, on nous demande toujours les mots de passe ! Donc, c'est bien beau de nous faire dire que les mots de passe c'est obsolète mais quand on propose juste des nombres aléatoires et uniques à rentrer en plus des mots de passe, j'appelle pas ça un bénéfice. Bref, c'est gens font leur pub (pour un produit que je recommande pas tant leur procédure d'authentification est effroyablement longue et requiert des installations de logiciels sur tous les supports que vous utilisez).
Alors, quoi pour remplacer les mots de passe? La reconnaissance faciale, digitale ou de l'oeil? Je n'aimerais pas qu'un serveur stocke mes données biométrique (remarquez, ça existe déjà). Mon numéro de sécurité sociale? et pourquoi pas mon ADN?
Non, pour moi un mot de passe, c'est comme votre code de carte bancaire. A vous de le retenir sinon tant pis pour vous.

@++

tout à fait d'accords et même plus.

[A3gisS3c]

Les responsables informatiques (lesquels d'ailleurs) vont à l'encontre des recommandations de l'ANSSI et de toutes les agences de sécurité dans le monde.

Le but n'est pas de remplacer les mots de passe, le but est d'instaurer le MFA.

Donc le mot de passe reste requis (mais non suffisant et avec bien sur une politique de rotation des mots de passe), c'est simplement une deuxième méthode d'authentification qu'il faut implémenter.

Petit tour d'horizon:
Reconnaissance faciale/digitale? -> beaucoup de personnes ne voudront pas voir stocker leurs données biométriques quelque part.
Téléphone portable? -> Nécessite un investissement vu que toutes les personnes devront être équipées d'un tel pro.
Certificat/clef publique? -> Nécessite l'achat de yubikeys ou autre concernant la partie certificat.

En bref, supprimer les mots de passe n'a aucun sens.

[The F0x]

une politique de rotation des mots de passe

Sans doute la meilleure manière d'affaiblir un mot de passe car les utilisateur vont trouver une manière de faire une rotation "mécanique" donc rendant les prochains mots de passe prédictibles. Plusieurs chercheurs en sécurités sont d'accord pour dire que d'avoir recommandé la rotation été une erreur.

Pour les histoire de stockage des données biométrique en général pour des besoins d'authentifications elles ne sont pas stockées, on va plutôt stocker un hash de celles-ci, comme on le fait déjà pour les mots de passe.

Chez un de mes clients, ils utilisent une authentification par certificat sur smartcard et pour déverrouiller le certificate store de la smart card il faut utiliser une empreinte digitale, maintenant ils pensent le coupler avec une application d’autorisation sur smartphone ou l'utilisateur pourra choisir son mode d'authentification préféré. Nous aurons alors Certificat (accès ouvert par Bio) + Authorisation sur un device séparé (avec Authentification au choix).

[A3gisS3c]

Sans doute la meilleure manière d'affaiblir un mot de passe car les utilisateur vont trouver une manière de faire une rotation "mécanique" donc rendant les prochains mots de passe prédictibles. Plusieurs chercheurs en sécurités sont d'accord pour dire que d'avoir recommandé la rotation été une erreur.

Pour les histoire de stockage des données biométrique en général pour des besoins d'authentifications elles ne sont pas stockées, on va plutôt stocker un hash de celles-ci, comme on le fait déjà pour les mots de passe.

Chez un de mes clients, ils utilisent une authentification par certificat sur smartcard et pour déverrouiller le certificate store de la smart card il faut utiliser une empreinte digitale, maintenant ils pensent le coupler avec une application d’autorisation sur smartphone ou l'utilisateur pourra choisir son mode d'authentification préféré. Nous aurons alors Certificat (accès ouvert par Bio) + Authorisation sur un device séparé (avec Authentification au choix).

Tu préfères mettre un mot de passe à durée non limité? ce serait une grave erreur de sécurité. Une politique de rotation de mot de passe (même si oui le prochain est hautement prévisible vis à vis du premier) améliore tout de même la sécurité, je ne vois pas quels chercheurs peuvent dire que c'est une erreur, ça va à l'encontre des recommandations de l'ANSSI, du CIS, du NIST...
Si tu as la source d'information je suis preneur.

En effet c'est un stockage du hash, mais le problème c'est que ça change queudal pour le français moyen (qui je te le rappelle flippe à tord sur le stockage de ses données la plupart du temps) et qui donc va croire qu'on stocke tout ce qui le définit dans un disque dur. Dé mémoire 20/30% de ma boite n'en voulait pas sous prétexte "qu'ils ne voulaient pas voir stocker leurs données biométriques blablabla".

Une smartcard déverrouillé par empreinte digitale, c'est joli c'est clair et bien mieux que mot de passe/ce que tu veux.

[JPLAROCHE]

#GLDavid
tout à fait d'accords et même plus.

[walfrat]

J'ai été dans une boîte ou il fallait que tu mette un certificat SSL client, (déténu sur une carte), avec un petit code PIN.

Alors techniquement ça peut être galère a faire fonctionner, mais au moins c'est efficace.

Au pire tu pourrais doubler l'authentification sur les applications sensible qui demanderait le PIN et un mdp dédié.

[Invité]

Bonsoir

Les responsables informatiques sont convaincus que les mots de passe ne sont plus capables de protéger les données, et réduisent également le taux de productivité moyen d'une organisation

Trouvez-vous cette étude pertinente ?

Partiellement. Je dirais surtout la quantité de mots de passes. Rien qu'au boulot nous en avons 40 ou 50 ^^ . Tous notez dans Excel bien évidement

Quel est votre avis sur la connexion sans mot de passe ?

En Belgique par exemple pour acceder à une appli bancaire (ing) on vous oblige à mettre en plus en mdp pour ouvrir votre smartphone. Sinon vous ne pouvez pas utiliser le compte en ligne via gsm.

C'est comme ci votre banquier vous obligeait à mettre une serrure en plus chez vous ... au risque de ne pas pouvoir recevoir vos relevés de compte

Bref on nage en plein délire.