L'authentification sans mot de passe, qui remplace les mots de passe traditionnels par des méthodes biométriques ou des clés de sécurité matérielles, est de plus en plus présentée comme une alternative plus sûre. Les grandes entreprises technologiques, dont Google, Microsoft et Apple, ont adopté des normes comme FIDO2 pour permettre des connexions sans mot de passe dans leurs écosystèmes. Les protocoles cryptographiques de base sont solides et conçus pour résister aux attaques courantes comme le bourrage d'identifiants.
Cependant, les experts en sécurité avertissent que la sécurité globale d'un système sans mot de passe dépend fortement de sa mise en œuvre et du comportement des utilisateurs. Les menaces réelles incluent les attaques de phishing sophistiquées qui peuvent intercepter les codes à usage unique ou manipuler les notifications push. La compromission de l'appareil principal d'un utilisateur, comme un smartphone avec une application d'authentification, peut également mener à une prise de contrôle de compte si les sauvegardes de récupération ne sont pas correctement configurées.
Par ailleurs, le passage à l'authentification sans mot de passe n'élimine pas les risques d'ingénierie sociale. Les attaquants peuvent cibler les processus de récupération de compte, qui deviennent souvent un maillon faible de la chaîne de sécurité. Les organisations doivent équilibrer sécurité et facilité d'utilisation, en veillant à ce que les méthodes d'authentification de secours soient sûres sans être trop complexes pour les utilisateurs.
Si la technologie sans mot de passe relève considérablement la barre pour les attaquants, elle n'est pas une solution miracle. Une approche de sécurité en couches, incluant l'éducation des utilisateurs pour reconnaître les tentatives de phishing et sécuriser leurs appareils personnels, reste essentielle pour protéger les comptes face à l'évolution des menaces.
