Passez-vous de mot de passe !

Annonces de l'administrateur
1

Oui vous avez bien entendu, pour vous connecter sur ce site vous n’avez plus nécessairement besoin d’un mot de passe, utilisez plutôt les « passkeys »

Activez votre clef d’accès dans votre profil, onglet Sécurité.

2024-05-25_20-38-17
2024-05-25_20-38-17729×586 54.2 KB

Plus d’info:

Les clés d’accès peuvent être stockées dans Dashlane:

FB_IMG_1716658677699
FB_IMG_1716658677699843×1006 58.3 KB

2

Introduction des passkeys :
Les clés d’accès, appelées « passkeys », représentent une nouvelle méthode pour éliminer les mots de passe, initiée par un regroupement de grandes entreprises technologiques.

Problèmes des mots de passe :
Les mots de passe sont considérés obsolètes. Pour être forts, ils doivent inclure au moins douze caractères variés et éviter des informations évidentes. Les phrases de passe, séquences de quatre ou cinq mots, sont actuellement recommandées par l’ANSSI et la CNIL en raison de leur longueur.

Gestionnaires de mots de passe :
Il existe trois types de gestionnaires de mots de passe :

  1. Synchronisés (LastPass, Dashlane, BitWarden, etc.) : Ils permettent une utilisation sur plusieurs appareils, mais nécessitent un mot de passe maître fort et sont vulnérables aux fuites de données.
  2. Intégrés aux navigateurs (Apple, Google, Microsoft) : Ces solutions sont pratiques si on utilise un seul navigateur, mais moins si les appareils sont hétérogènes.
  3. Simples (KeePass) : Hébergés localement, ces gestionnaires offrent une grande sécurité mais nécessitent une gestion manuelle des données sur différents appareils.

Limites des gestionnaires de mots de passe :
Bien qu’indispensables, ils ne protègent pas contre les fuites de données chez les prestataires. D’où l’importance de l’authentification multifacteur, qui combine deux facteurs parmi la connaissance, la possession et l’inhérence.

Origine des passkeys :
Les passkeys ont été créées par la FIDO Alliance, un consortium incluant Apple, Google et Microsoft, pour résoudre les problèmes liés aux mots de passe. Les passkeys visent à améliorer la sécurité et simplifier l’usage grâce à des mécanismes de vérification d’identité robustes.

L’exemple des banques

L’utilisation de mots de passe forts est une préoccupation importante pour la sécurité en ligne. Actuellement, un mot de passe est considéré comme fort s’il contient au moins douze caractères, mélangeant des majuscules, minuscules, chiffres et caractères spéciaux, et ne doit inclure aucune information évidente comme un prénom, une date de naissance ou le nom d’un animal domestique.

Dans le contexte bancaire, certaines banques imposent des mots de passe courts, souvent limités à des chiffres, comme Boursorama (8 chiffres) ou Crédit Agricole (6 chiffres). Cette approche peut sembler moins sécurisée en comparaison des standards recommandés pour les mots de passe forts. Cependant, les banques mettent en place d’autres mesures de sécurité pour compenser cette faiblesse apparente.

Mesures de Sécurité Complémentaires

  1. Limitation des Tentatives de Connexion : Les banques limitent souvent le nombre de tentatives de connexion infructueuses avant de bloquer l’accès, ce qui réduit le risque d’attaques par force brute.
  2. Surveillance de la Connexion : Les banques surveillent les heures habituelles de connexion, la localisation basée sur l’adresse IP, et le comportement de l’utilisateur pour détecter des activités suspectes.
  3. Authentification à Deux Facteurs (2FA) : Pour les opérations sensibles, les banques utilisent souvent un second facteur d’authentification, tel qu’un code envoyé par SMS, une application mobile, ou des passkeys, ce qui ajoute une couche de sécurité supplémentaire.
  4. Techniques Anti-Keyloggers : Certaines banques, comme la Banque Postale, utilisent des claviers virtuels avec disposition aléatoire des chiffres pour éviter les keyloggers.
  5. Phishing : Le risque le plus courant reste le phishing, où l’utilisateur donne directement ses identifiants. Les méthodes d’authentification multifactorielle peuvent atténuer ce risque en rendant plus difficile l’accès avec des identifiants seuls.

Conclusion

La sécurité bancaire ne repose pas uniquement sur la complexité du mot de passe. Bien que des mots de passe plus longs et complexes soient plus sûrs, les banques utilisent diverses stratégies pour gérer les risques, rendant le système globalement plus sécurisé malgré l’utilisation de codes plus simples pour certaines transactions. La gestion des risques, plutôt que la recherche d’une sécurité absolue, est essentielle dans la sécurisation des services bancaires en ligne.

3

  1. Dashlane a lancé en décembre 2023 une fonctionnalité permettant la création de comptes mobiles sans mot de passe maître, une première dans l’industrie des gestionnaires de mots de passe.

  2. Des données anonymisées comparant les nouveaux utilisateurs sans mot de passe aux utilisateurs avec mot de passe maître montrent que les utilisateurs sans mot de passe :

    • Utilisent Dashlane 40% plus fréquemment
    • Utilisent la saisie automatique 25% plus souvent
    • Sont 240% plus susceptibles de partager un élément
    • Sont 200% plus susceptibles d’ajouter un jeton 2FA à un élément du coffre-fort
    • Sont 20% plus susceptibles d’utiliser le générateur de mots de passe de Dashlane

  3. Ces résultats préliminaires suggèrent que la suppression du mot de passe maître réduit les frictions et encourage un engagement plus actif et sécurisé des utilisateurs.

  4. L’article souligne l’importance de l’évolution vers l’authentification sans mot de passe pour améliorer à la fois la sécurité et la facilité d’utilisation.

  5. Dashlane prévoit d’étendre cette fonctionnalité à toutes les plateformes dans le futur.

source: