Les Américains de chez Cisco en ont marre de l'authentification par mots de passe ! Cisco va faire évoluer cet été sa solution Cisco Duo pour proposer la fonctionnalité "Passwordless Authentication", c'est-à-dire l'authentification sans mot de passe.

Sans négliger l'aspect sécurité, Cisco Duo va permettre de se connecter à un service sans saisir son mot de passe, mais simplement en s'appuyant à la place sur des clés de sécurité ou des éléments biométriques.

Petit retour en arrière : en 2018, Cisco a racheté la société Duo, ce qui a donné lieu par la suite à la solution Cisco Duo, aujourd'hui utilisée par plus de 25 000 entreprises. Grâce cette solution et cette acquisition, Cisco a pu ajouter des services basés sur l'authentification multifacteurs à sa solution Cisco Zero Trust Security. Aujourd'hui, Duo est compatible avec des centaines d'applications pour sécuriser la connexion d'un utilisateur, peu importe l'appareil utilisé.

La fonction Passwordless Authentication de Cisco Duo s'appuie sur la norme d'authentification Web nommée WebAuthn. Ensuite, c'est de la cryptographie asymétrique qui va entrer en jeu : grâce au chiffrement et à une paire de clés. La clé privée est stockée sur l'appareil de l'utilisateur tandis que la clé publique correspondante reste sur le serveur (et elle s'associe à un identifiant). Si un pirate souhaite compromettre le compte de l'utilisateur, il doit disposer de la paire de clés au complet. En complément, il faut savoir que chaque paire de clés est unique pour chaque site.

Lorsque Cisco parle d'éléments biométriques pour l'authentification sans mot de passe, cela signifie exploiter des fonctions bien connues pour générer les clés. Par exemple, sur les smartphones on parle de fonctions comme FaceID ou TouchID chez Apple : reconnaissance faciale et d'empreintes biométriques. Au niveau de Windows, on retrouve également une fonctionnalité de reconnaissance faciale par l'intermédiaire de Windows Hello, sous réserve d'avoir une webcam compatible.

Grâce à cette nouveauté, on complique la tâche pour les pirates d'une part, et on facilite la gestion des mots de passe pour l'utilisateur d'autre part. Même s'il existe d'excellents gestionnaires de mots de passe, ces derniers ne sont pas utilisés par tout le monde. Cisco n'est pas la seule entreprise s'intéresser à l'authentification sans mot de passe puisque d'autres éditeurs travaillent sur le sujet également, comme Lastpass. Avec cette nouvelle tendance, peut-être que d'ici quelques années les mots de passe "Password" et "123456" deviendront moins utilisés...

Source

The post Cisco va ajouter l’authentification sans mot de passe à Cisco Duo first appeared on IT-Connect.