Authentification sans mot de passe

Suite à la lecture de cet article sur Medium, nous avons décidé de ne pas demander de mot de passe à nos utilisateurs. Ce post reprend la plupart des arguments de l'article original, exposés dans la langue de Molière.

Constat

La plupart des sites que vous visitez et qui ont une gestion utilisateur vous demandent de créer un compte avec un nom d'utilisateur et un mot de passe, ainsi qu'une multitude d'autres informations. Au moment de choisir le mot de passe, vous avez 2 solutions :

• Choisir un mot de passe que vous utilisez souvent, c'est peut-être d'ailleurs le mot de passe que vous utilisez pour tous les sites.
• Choisir un nouveau mot de passe pour chaque nouveau site, car vous avez lu qu'il fallait le faire pour des raisons de sécurité. D'ailleurs vous n'avez peut-être pas eu le choix si le site impose des règles différentes des autres sites (caractères spéciaux, nombre de caractères, etc).

Je ne vais pas m'attarder sur la première solution qui est bien sûr très risquée, mais sur la manière de gérer la seconde. À force de naviguer sur différents site, vous avez plus d'une centaine de mots de passe, et vous avez bien du mal a les connaître par cœur ! Là encore, vous avez plusieurs solutions :

• Le post-it : en espérant que personne ne les lise ou qu'ils ne s'envolent pas. Je ne parle pas bien sûr des problèmes liés à la mobilité.
• Le gestionnaire de mots de passe : il y a la version "installée", le trousseau de clés sur votre ordinateur, qui marche bien mais seulement sur votre ordinateur et pas sur celui des autres, et la version "cloud" avec par exemple la fonctionnalité de stockage de mots de passe dans Google Chrome. Cette dernière fonctionne la plupart du temps, sous réserve de vous connecter avec votre compte sur le navigateur, et que ce dernier soit installé sur la machine que vous utilisez.
• Faire confiance à sa mémoire, et si ça ne marche pas on utilisera la fonctionnalité de récupération de mot de passe : c'est un peu plus long, mais si on n'a pas oublié le mot de passe de sa boîte mail, ça marche à tous les coups !

Nous allons creuser ce dernier point, il y a l'air d'avoir des choses intéressantes là-dedans.

Principe

L'authentification sans mot de passe est assez simple, c'est un peu comme une récupération de mot de passe oublié simplifiée.

• L'utilisateur n'a plus qu'à remplir un seul champ : son adresse mail, et cliquer sur le bouton pour s'authentifier.
• Il voit alors sur le site une notification l'informant d'aller consulter sa boîte mail.
• Il trouve dans celle-ci un mail avec un lien ; quand il clique dessus il revient sur le site web authentifié.

C'est un peu plus long qu'un processus de connexion classique, mais cela offre plusieurs avantages :

• L'utilisateur n'a pas à retenir un mot de passe supplémentaire.
• Vous n'avez pas à vous soucier du niveau de sécurité du mot de passe : il est exactement le même que celui de la boîte mail de l'utilisateur (pas plus, pas moins).
• Si vous vous faites hacker votre base de données contenant vos utilisateurs enregistrés, le hacker n'aura pas leurs mots de passe et ne pourra donc pas les utiliser sur d'autres sites. C'est peut-être un peu exagéré car les mots de passe sont normalement cryptés dans la base, mais le hacker peut les décrypter en prenant son temps avec une technique par force brute par exemple. Et si certains utilisateurs changent de mot de passe pour chaque site, il sont minoritaires...

Il faut noter toutefois que le processus est un peu plus lourd qu'une authentification classique avec mot de passe dans le cas où l'utilisateur se souvient bien de celui-ci. Ainsi, si vous avez des sessions très courtes, cela pourrait vraiment déranger vos utilisateurs. Au contraire, si vous utilisez des sessions longues, que l'utilisateur revient régulièrement sur votre plateforme et que sa session est reprolongée automatiquement, cette approche devient vraiment avantageuse.

Un concept récent mais qui a fait ses preuves

Le post de blog que j'ai mentionné au début de cet article a bientôt 3 ans. Ce qui peut paraître long dans le monde digital, mais il faut toujours un peu de temps pour éprouver les technologies et qu'elles se diffusent plus largement. Comparé aux autres méthodes d'authentification, ça reste très récent.

Bien que peu d'acteurs du Web utilisent cette technique, certains s'y sont mis, et pas des moindres : Medium, Slack et WhatsApp. Vous trouverez facilement des ressources sur le Web pour vous aider à implémenter une authentification sans mot de passe, comme ce tutoriel pour ReactJS écrit par Auth0 qui est un fournisseur d'identité reconnu, ou des ressources sur passwordless.net.