Comment les startups peuvent devenir sans mot de passe, grâce à la confiance zéro – TechCrunch

«Il ne fait aucun doute qu’avec le temps, les gens vont de moins en moins s’appuyer sur les mots de passe… ils ne relèvent tout simplement pas le défi pour tout ce que vous voulez vraiment sécuriser», a déclaré Bill Gates.

C’était il y a dix-sept ans. Bien que les mots de passe aient perdu une partie de leur charme, ils ont jusqu’à présent survécu à de nombreuses tentatives de les tuer pour de bon.

La perception de coûts élevés et d’implémentations délicates a empêché certaines petites entreprises d’abandonner les mots de passe. Mais les alternatives aux mots de passe sont abordables, faciles à mettre en œuvre et plus sûres, montrent les informations du secteur recueillies par Extra Crunch. Le passage à des systèmes de confiance zéro agit comme un catalyseur.

Tout d’abord, une introduction. La confiance zéro se concentre sur qui vous êtes, pas où vous êtes Les modèles de confiance zéro obligent les entreprises à ne jamais faire confiance à aucune tentative d’accès à son réseau et doivent vérifier à chaque fois, même à partir de connexions depuis l’intérieur du réseau. La technologie sans mot de passe est un élément clé des modèles de confiance zéro.

Il existe plusieurs alternatives pour les mots de passe, notamment:

  • Authentification biométrique: largement utilisé comme lecteurs d’empreintes digitales dans les smartphones et points de vérification physique dans les bâtiments;
  • Authentification sur les réseaux sociaux: où vous utilisez vos identifiants Google ou Facebook pour vous authentifier auprès d’un service tiers;
  • Authentification multifacteur: où plus de couches d’authentification sont ajoutées à l’aide d’appareils ou de services, tels que l’authentification par jeton à l’aide d’un appareil de confiance.
  • Cartes d’authentification de grille: qui fournit un accès tout en utilisant un code PIN combiné.
  • Notifications push: qui sont généralement envoyés aux smartphones ou aux appareils cryptés de l’utilisateur.
  • Certificats numériques: fichiers cryptographiques stockés localement sur la machine ou l’appareil.

Wolt, un site finlandais de livraison de nourriture, n’est qu’un exemple de la suppression du mot de passe.

«L’utilisateur s’inscrit en saisissant son adresse e-mail ou un numéro de téléphone. La connexion à l’application s’effectue en cliquant sur le lien temporaire dans la boîte de réception de l’utilisateur. L’application sur le téléphone mobile de l’utilisateur place un cookie d’authentification, qui permet à l’utilisateur de continuer à partir de cet appareil sans avoir à passer par une autre authentification », a déclaré Erka Koivunen, RSSI chez F-Secure.

Dans ce cas, le fournisseur de services contrôle totalement l’authentification, ce qui lui permet de définir l’heure d’expiration, de révoquer le service et de détecter les fraudes. Le fournisseur de services n’a pas besoin de compter sur l’engagement de l’utilisateur à garder une trace de ses mots de passe.

La technologie sans mot de passe n’est pas intrinsèquement coûteuse mais peut nécessiter quelques ajustements, a expliqué Ryan Weeks, RSSI chez le fournisseur de services gérés Datto.

«Ce n’est pas nécessairement coûteux en termes d’investissement monétaire, car il existe de nombreuses alternatives open source facilement accessibles pour l’authentification multifactorielle qui ne nécessitent aucun investissement», a déclaré Weeks. Mais certaines entreprises pensent que la technologie sans mot de passe peut entraîner des frictions sur la productivité de leurs employés.

Koivunen a également rejeté le fait que les modèles de confiance zéro sont inabordables pour les startups.

«Zero Trust reconnaît la futilité de forcer les utilisateurs à s’authentifier en présentant quelque chose qu’ils devraient garder secret. Au lieu de cela, il préfère établir l’identité de l’utilisateur en utilisant une méthode sensible au contexte », a-t-il déclaré.

La confiance zéro va plus loin que l’authentification des utilisateurs; il inclut également l’appareil et l’utilisateur.

«Du point de vue de la confiance zéro, il y a une idée selon laquelle une authentification ou une revalidation continue de la confiance se produit. Par conséquent, sans mot de passe dans un modèle de confiance zéro est potentiellement plus facile pour l’utilisateur et plus sûr car la combinaison des facteurs «quelque chose que vous avez» et «quelque chose que vous êtes» est plus difficile à attaquer », a déclaré Datto’s Weeks.

Les grandes entreprises, comme Microsoft et Google, proposent déjà des technologies de confiance zéro. Mais les investisseurs recherchent également les petites entreprises qui n’offrent aucune confiance aux entreprises en croissance.

Axis Security, un fournisseur de confiance zéro qui permet aux employés distants d’accéder au réseau de leur entreprise, a levé 32 millions de dollars l’année dernière. Beyond Identity a levé 75 millions de dollars de financement en décembre. Et la start-up israélienne de validation d’identité Identiq a levé 47 millions de dollars en financement de série A en mars.

Pour marque-pages : Permaliens.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *