Nous entendons souvent parler de situations de "violation de données", ou de violations de données au sein des entreprises causées par le piratage d'informations sensibles sur les utilisateurs. Pour le secteur B2B, la principale préoccupation est la protection des données des utilisateurs, y compris les données personnelles et de connexion, y compris les mots de passe. Il y a quelques années, de nouveaux mécanismes d'authentification tels que l'authentification à deux facteurs (2FA) et l'utilisation d'API de connexion tierces ont été créés.
Les mots de passe faibles (azerty, 123456…) utilisés sur différents sites sont à l'origine du problème.
Il suffit de lire régulièrement la presse spécialisée, voire l'actualité généraliste, pour constater qu'il existe des cas de piratage à grande échelle qui sont accessibles au public sur le dark web. Par conséquent, il est facile d'obtenir ces informations et d'essayer d'accéder à de nombreux autres sites Web.
En fait, la plupart des internautes utilisent les mêmes identifiants de connexion sur de nombreuses plateformes. La difficulté ici est de reconnaître l'importance de protéger les données de vos utilisateurs/clients.
Par conséquent, nous analyserons les principales stratégies pour améliorer l'authentification des utilisateurs. Nous étudierons si les entreprises utilisent des stratégies pour renforcer le processus d'authentification, à la fois lors de la création d'un compte et lors des transactions. Nous explorerons trois techniques : le mot de passe dit "fort", les systèmes de type API pour se connecter via un tiers tel que Facebook Connect, et la double authentification.
Comment protéger les utilisateurs avec une authentification sécurisée ?
Le mot de passe classé comme fiable ou sécurisé
Qu'est-ce qu'un mot de passe fort et sécurisé? Un mot de passe hautement sécurisé doit répondre à trois critères : il doit être difficile à deviner (décrire les critères), l'utilisateur doit le mettre à jour régulièrement (c'est-à-dire que les entreprises doivent obliger l'utilisateur à le changer régulièrement), et surtout la procédure de renouvellement le mot de passe. le mot de passe, en cas d'oubli, doit être sûr, avec une question secrète et un lien pour un temps limité.
Un mot de passe fort est défini comme suit :
– doit contenir au moins 12 caractères, avec une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux
– doit être mis à jour au moins tous les 6 mois
– doit pouvoir répliquer en toute sécurité grâce à un système de questions secrètes, avec un lien d'expiration de 24h.
Une autre question qui se pose est de savoir si utiliser un mot de passe fort suffit aujourd'hui. Près de six personnes sur dix utilisent le même mot de passe pour tous leurs comptes, et 5 professionnels sur 10 avouent utiliser le même mot de passe pour leur compte professionnel et personnel, la principale raison étant la peur de l'oublier. Même si vos utilisateurs fournissent un mot de passe fort, il existe un risque important qu'il soit utilisé ailleurs, vous laissant peu de certitude que le compte n'a pas été piraté ou utilisé par quelqu'un d'autre.
Utilisez une API de connexion tierce pour vous assurer que vos utilisateurs sont authentifiés
Vous pouvez toujours utiliser des API de connexion tierces, telles que Facebook Connect ou Google Sign-In, ainsi que "Se connecter avec Apple", "Se connecter avec Twitter", etc.
Cependant, le problème reste le même : il n'y a aucune garantie que les données fournies par ce tiers soient exactes, car Google et Facebook ont des millions de faux utilisateurs ou de comptes non authentifiés dans leurs bases de données. Par ailleurs, les consommateurs tentent de différencier leur vie privée de leur vie dite « sociale » et sont de plus en plus conscients de l'importance des GAFAM dans leur quotidien. Si vous n'utilisez ces modules que pour l'authentification des utilisateurs, cela peut constituer un obstacle à la conversion.
Le principal défi pour les entreprises est de trouver le juste équilibre entre une expérience client positive et une sécurité optimale. L'authentification forte, via l'authentification à 2 facteurs, offre ici une approche intuitive.
L'utilisation de 2FA, ce qui signifie une authentification forte à deux facteurs
Au moins trois conditions doivent être validées pour mettre en place une authentification 2FA forte : un identifiant (login), un code d'accès (mot de passe), un appareil que je possède (smartphone, téléphone fixe, etc.), et parfois des informations qui nous sont propres (un empreinte numérique).
C'est là qu'intervient la technologie 2FA, offrant une option pour prendre en charge cette méthode d'authentification forte. Nous allons donc voir ce qu'est le 2FA, comment il fonctionne et comment le mettre en place.