L’authentification sans mot de passe

6 juin 2018Tech5 min de lecture

L’authentification sans mot de passe

L’authentification sans mot de passe, késaco ?

Bonjour à toutes et à tous,

Vous êtes-vous déjà demandé s’il existait une solution plus simple, plus sécurisée que l’authentification avec un mot de passe ? 🔎 Dans cet article, nous allons vous présenter l’authentification sans mot de passe que nous utilisons au sein de nos applications. Oui oui, vous avez bien lu ! Ne vous inquiétez pas, on va tout vous expliquer.

baby confused

Pourquoi mettre en place ce type d’authentification ?

Nous allons tout d’abord vous expliquer pourquoi nous avons choisi de mettre en place une authentification sans mot de passe, avant de vous montrer concrètement comment ça marche. En effet, les mots de passe sont en proie à plusieurs problèmes de sécurité : qui n’a pas déjà réutilisé un mot de passe (ou choisi un mot de passe très simple en se disant qu’on le changerait plus tard) ? Sans parler des mots de passe les plus utilisés tels que “password” ou “iloveyou”… 🙈

melbrooks password

Retenir un mot de passe pour chaque site, chaque compte est aussi un challenge permanent (personnellement, j’oublie toujours mes mots de passe), et il n’est pas rare de voir les utilisateurs recourir à des méthodes peu sécurisées pour éviter d’oublier leurs mots de passe comme écrire son mot de passe sur un post-it.

Et ça, c’est juste du côté de l’utilisateur. C’est encore plus déroutant de voir que sur chaque site web, les règles de création de mot de passe sont différentes : certains sites permettent d’utiliser autant de caractères que l’on veut, y compris des caractères spéciaux, alors que d’autres se limitent à 8 caractères alphanumériques, et ça n’encourage pas à créer un mot de passe différent.

Vous pouvez aussi aller voir cet article (en anglais) qui propose une infographie très intéressante.

En plus du mot de passe, il y a le “two-factor authentication” (2FA) ou authentification double. L’utilisateur rentre son mot de passe, et dans un second temps rentre un code fourni par une application externe, comme Google Authenticator. Je vous laisse aller lire cet article qui vous donnera plus de détails si vous le souhaitez. Les développeurs sont en général très à l’aise avec cette méthode, mais les utilisateurs non sensibilisés peuvent trouver ça compliqué. Les chiffres parlent plus que des mots et Google a par exemple tenté de promouvoir l’utilisation de cette méthode. Après trois ans, seuls 6.5% de leurs utilisateurs sont des adeptes du 2FA.

Dernier point mais pas des moindres, avoir un mot de passe demande certaines précautions. En effet, certains hackers sont adeptes des techniques de phishing (ou hameçonnage en français) : ils n’hésitent pas à se faire passer pour personnes ou tiers de confiance (comme l’administration ou votre fournisseur d’accès internet) pour soutirer des informations personnelles, en particulier vos mots de passe. Supprimer le mot de passe est donc un moyen d’éviter une exposition au phishing pour votre compte Moneway.

The only secure password is the one you can’t remember. — Troy Hunt

Le seul mot de passe sécurisé est celui dont vous ne pouvez pas vous rappeler.

Avec l’authentification sans mot de passe, nous vous garantissons une expérience utilisateur agréable, et surtout, une sécurité renforcée.

Et sinon, comment ça marche ? 🤔

En supprimant l’étape “mot de passe”, nous introduisons un nouveau concept : l’utilisation d’un magic link. Le magic link est un lien hypertexte, reçu par mail, qui vous connecte automatiquement via nos applications mobiles. Si nous procédons étape par étape, voilà comment un utilisateur peut se connecter chez Moneway :

  • L’utilisateur envoie son adresse email depuis l’une de nos applications mobiles
  • Moneway reçoit cette adresse et renvoie un email contenant le magic link directement à l’utilisateur
  • L’utilisateur clique sur le lien reçu
  • L’application mobile s’ouvre, et l’utilisateur est connecté !

moneway passwordless

Cela vous rappelle quelque chose ? En effet, cela ressemble au système de réinitialisation du mot de passe. Le mot de passe a seulement été supprimé, et la sécurité a été améliorée, étant donné que l’adresse mail est personnelle. Cela fait donc un seul mot de passe (celui de la boîte mail) à retenir. En bonus, l’inscription et la connexion se font de la même manière. Si nous ne connaissons pas l’email vous vous connecterez et vous pourrez entamer le processus d’inscription. Dans l’autre cas vous vous connecterez normalement à votre compte.

D’un point de vue plus technique nos applications récupèrent un mot de passe temporaire (d’une durée d’une heure) automatiquement renouvelé qui nous permet de vérifier qu’il s’agit bien de vous lorsque vous faites vos opérations. Un autre avantage de ce mot de passe temporaire c’est qu’il est impossible de le deviner ou de le “cracker” puisqu’il s’agit d’une longue chaîne de caractère (+ de 80 caractères aléatoires).

En quelques phrases, l’authentification sans mot de passe permet d’éviter tous les problèmes liés aux mots de passe cités dans la première partie, et il est tout à fait possible de sécuriser en plus les applications mobiles elles-même en ajoutant un code ou son empreinte digitale. L’un des plus gros points d’inquiétude dont on nous a fait part est lié au piratage de la boite mail. En effet, cela pourrait donner accès au compte Moneway, mais aussi cela laisserait la possibilité aux hackers de réinitialiser tous vos mots de passe de tous vos comptes liés à cette adresse. Nous ne pouvons malheureusement pas agir sur cette partie là, comme ce n’est pas lié au choix de la méthode d’authentification, mais nous sommes et restons à votre disposition via support@moneway.com.

Vous pouvez tester notre méthode d’authentification et l’application dans son ensemble en vous inscrivant à notre alpha qui sortira prochainement. Je vous invite à suivre nos avancées ici. 🤗 Pour toute question, nous sommes toujours disponibles sur le forum, on vous y attend !

see you soon

Merci à Guillaume, Noémie et Romain pour leurs conseils et leur temps !

Partager sur :

Emeline Gaulard

Emeline Gaulard

Software Engineer