Zffoto - stock.adobe.com

Ping Identity lance un système d’authentification sans mot de passe

La nouvelle suite de Ping intègre des fonctions qui visent à sécuriser les comptes utilisateurs en éliminant des mots de passe qui, trop souvent réutilisés, constituent une cible facile.

Ping Identity vient de lancer PingZero, son offre pour éliminer le mot de passe du processus d’authentification et ainsi améliorer l’expérience des utilisateurs tout en renforçant la sécurité. Ce nouveau service est basé sur le standard ouvert FIDO2, et ne vise pas seulement les cas d’usage tels que la connexion à un site web, ou l’authentification sur un terminal mobile ou un poste de travail, mais également les transactions bancaires en ligne et les appels à un service de support client.

Suite de l'article ci-dessous

PingZero propose un flux d’authentification basé sur un code QR et peut valider l’identité des utilisateurs grâce aux paramètres du terminal et du navigateur, ou la biométrie. Le service embarque également des mécanismes de suivi caché des signaux faibles de risque : ils détectent les changements importants de géolocalisation, d’adresse IP et de posture du dispositif qui pourraient indiquer une activité suspecte. En outre, PingZero peut être déployé sur toutes les ressources de l’entreprise, y compris les applications mobiles, SaaS et patrimoniales.

Derick Townsend, vice-président de Ping en charge du marketing produit, explique que cette offre est en cours d’élaboration depuis plusieurs années : « il y a beaucoup de façons de procéder pour créer une solution sans mot de passe. On peut par exemple augmenter la durée de la session et faire certaines choses pour ne pas avoir à entrer un mot de passe à chaque fois. Nous avons fait cela pendant plus de dix ans, mais maintenant nous avons de nouvelles normes comme FIDO2 qui sont vraiment puissantes ».

Ping Identity est d’ailleurs membre de l’alliance FIDO. Et si l’éditeur a adopté FIDO2 c’est parce qu’elle utilise un chiffrement à clé privée et publique, qui rend presque impossibles le phishing ou les attaques de type man-in-the-middle, explique Derick Townsend. Alors pour lui, si « tous nos concurrents n’ont pas encore [le support de FIDO2], je pense que, avec le temps, FIDO2 s’imposera comme norme de facto ».

« Certaines nouvelles méthodes, utilisant des images ou des modèles, ou la biométrie grand public, peuvent ne pas être très robustes. »
Ant AllanVP recherche, Gartner

Les fonctionnalités de Ping Zero peuvent être intégrées dans une approche sans confiance (zero trust, en anglais) ou à un système de SSO. Mais cela ne signifie pas qu’il est nécessaire de renoncer directement et complètement au mot de passe : le service peut être déployé en laissant le support de l’authentification par mot de passe. Mais Derick Townsend ne le recommande pas.

De fait, pour Ant Allan, vice-président de la recherche chez Gartner, les cas d’authentification patrimoniaux, avec mot de passe, restent problématiques : « la sécurité et l’expérience utilisateur sont deux facteurs clés. La plupart des approches sans mot de passe améliorent la sécurité, mais certaines nouvelles méthodes, utilisant des images ou des modèles, ou la biométrie grand public, peuvent ne pas être très robustes. La suppression des mots de passe dans le cadre de l’expérience utilisateur/client est généralement considérée comme une amélioration de celle-ci, mais (par expérience personnelle) toutes les approches sans mot de passe n’apportent pas une amélioration nette ».

Pour approfondir sur Authentification et signature électronique

Close