Authentification unique : qu'est-ce que c'est, comment ça marche et pourquoi vous en avez besoin

Il y a de fortes chances que vous vous soyez connecté à quelque chose via l'authentification unique au cours de la semaine dernière, mais comprenez-vous comment cela fonctionne et pourquoi votre entreprise devrait l'utiliser ?

Quelle est la partie la plus précieuse de votre site Web ?

Votre doux algorithme pour compresser les fichiers vidéo ? Votre collection sans cesse croissante d'adresses IP originales ? Ou peut-être l'expérience de jeu que vos utilisateurs obtiennent lorsqu'ils se frayent un chemin à travers un endroit qui est essentiellement la Terre du Milieu mais qui, pour des raisons juridiques, n'est certainement pas la Terre du Milieu ?

Du point de vue d'un hacker, rien de tout cela n'a d'importance. Les pirates recherchent des données personnelles. Noms, adresses, e-mails et mots de passe : détails sur l'identité d'un utilisateur qui peuvent ensuite être utilisés pour des escroqueries par hameçonnage, des attaques de rançongiciels et le vol d'identité.

Les mots de passe et autres informations de connexion peuvent figurer en tête de liste ces jours-ci. L'entreprise de design d'intérieur Houzz a perdu plus de 48 millions de mots de passe l'année dernière. Zynga, le producteur de jeux connu pour "Words with Friends" et "Draw Something", a également été touché par une attaque de sécurité, avec environ 218 millions d'identifiants d'utilisateurs volés.

Malheureusement, lorsqu'il s'agit de failles de sécurité, la prévention n'est jamais possible à 100 %. Cependant, il existe des moyens de réduire les risques que les utilisateurs se fassent voler leurs mots de passe lors d'une violation. Bienvenue dans l'authentification unique, une structure de gestion des identités qui résout de nombreux problèmes commerciaux courants.

Qu'est-ce que l'authentification unique (SSO) ?

L'authentification unique (SSO) est un système d'identification qui permet aux sites Web d'utiliser d'autres sites de confiance pour vérifier les utilisateurs. Cela libère les entreprises du besoin de conserver des mots de passe dans leurs bases de données, réduit le dépannage de connexion et diminue les dommages qu'un piratage peut causer.

Les systèmes SSO fonctionnent comme un fournisseur d'identité, un peu comme une carte d'identité. Par exemple, si vous vous faites arrêter pour excès de vitesse, le policier n'a pas à vous connaître personnellement ; ils peuvent simplement regarder votre licence et voir que votre état garantit votre identité.

De même, avec le SSO, votre site Web ne vous oblige pas à prouver votre identité en vérifiant en lui-même. Au lieu de cela, il vérifie auprès d'un fournisseur SSO (tel que LinkedIn, Microsoft ou Google) pour voir s'il peut vérifier votre identité. Si c'est le cas, le site les croit sur parole.

Techniquement, une grande partie de ce que l'on appelle l'authentification unique est en fait un mélange de SSO pur et de délégation ou de fédération. Il y a une sorte de fouillis entre toutes les plates-formes, d'autant plus que les fournisseurs d'identité en tant que service entrent dans le mélange.

Nous utiliserons SSO ici, avec des légendes lorsque les distinctions sont vraiment importantes.

Comment fonctionne l'authentification unique ?

Expliquer le système à grands traits est simple, mais expliquer le processus de mise en œuvre du SSO nécessite un peu plus de contexte. Normalement, lorsque vous vous connectez à un système, le fournisseur de services ou le domaine (website.com, dans cet exemple) vous authentifiera lui-même. Ainsi:

1. En tant qu'utilisateur, vous accédez à une page intermittente sur website.com qui vérifie si vous êtes déjà connecté. Si vous l'êtes, l'authentification SSO est terminée et le système vous enverra vers ce que vous vouliez vraiment (votre compte Gmail boîte de réception, par exemple).

2. Si vous n'êtes pas déjà connecté, un écran de connexion s'affiche.

3. Vous déposez vos informations de connexion (e-mail et mot de passe) dans le formulaire, website.com vérifie ces informations d'identification par rapport à sa base de données, puis vous êtes soit connecté, soit rejeté.

4. Si vous êtes connecté, website.com émettra une sorte de traceur. Cela peut être sur le serveur ou il peut vous être envoyé sous forme de jeton.

Désormais, chaque fois que vous vous déplacez sur le site, le système vérifie simplement que le traceur, et donc votre authentification, est à jour.

Si vous deviez faire la même chose avec SSO en place, cela ressemblerait plus à ceci :

1. En tant qu'utilisateur, vous accédez à une page intermittente (un portail SSO) sur website.com qui vérifie si vous êtes déjà connecté. Si vous l'êtes, cela vous redirige vers ce que vous vouliez vraiment : votre boîte de réception Gmail, par exemple.

2. Si vous n'êtes pas déjà connecté, website.com vous propose des options d'authentification via un fournisseur d'identité tiers (Google, Amazon, Facebook, etc.). Vous choisissez le fournisseur de votre choix, puis vous vous connectez avec ce fournisseur, disons Google.

3. Google vérifie que vous êtes bien vous, vérifie que website.com est le site qu'il prétend être, puis vous authentifie en fonction de la base de données de mots de passe de Google et renvoie un jeton à website.com.

4. Website.com obtient le jeton de Google, vérifiant votre identité. Il vous associe désormais au reste de vos données utilisateur (préférences, historique, panier, etc.) et vous êtes prêt.

• Dans un véritable système SSO , vous naviguerez simplement d'un site à l'autre avec un accès complet.

• Dans un système délégué , Google retournera à la fois une vérification d'identité et un ensemble d'utilisations autorisées. Website.com peut avoir accès à votre nom et à votre adresse e-mail, par exemple, mais ne pas voir votre emplacement ou votre âge. (Voir l'exemple ci-dessous.)

Super! Mais pourquoi quelqu'un s'en soucierait-il ?

Les avantages pour les utilisateurs

Il y a quelques avantages principaux pour les utilisateurs qui interagissent avec SSO.

• Commodité. Les utilisateurs n'ont besoin de se souvenir que d'un ensemble d'informations de connexion. En connectant votre site à leurs identifiants chez Google, vous vous assurez que même les utilisateurs sporadiques peuvent se rappeler comment se connecter ; ils se connectent simplement à Google.

• Transparence. Les utilisateurs savent ce qui est partagé d'un système à un autre, du moins dans un système délégué. C'est comme lorsque vous installez une nouvelle application sur votre téléphone et qu'elle vous demande l'autorisation d'accéder à vos photos, contacts et compte bancaire. Si vous n'êtes pas satisfait de ces options, vous pouvez vous désinscrire.

• La rapidité. Avec SSO, les utilisateurs n'ont pas à passer par de longs processus d'inscription et d'autorisation. Étant donné que Google a déjà effectué toute la vérification des e-mails et la collecte des données, les nouveaux utilisateurs peuvent s'inscrire aussi rapidement qu'ils peuvent se connecter à Google.

• Sécurité. Les utilisateurs ont également la tranquillité d'esprit de savoir que le propriétaire du site Web, Marlon Rando, n'a pas son mot de passe stocké en texte brut quelque part dans le marigot d'Internet. Google continue d'être le principal point de confiance, ce qui permet à l'utilisateur d'essayer de nouvelles choses sans crainte.

Les avantages pour votre entreprise

C'est une excellente nouvelle pour vos utilisateurs, mais qu'en est-il pour vous, le propriétaire du site ?

• Plus d'inscriptions d'utilisateurs. Le SSO offre une barrière à l'entrée plus faible, de sorte que les nouveaux clients peuvent s'inscrire facilement et en toute sécurité, en s'appuyant sur une marque connue. Facebook gère le processus, donc ils ne s'inquiètent pas de votre système et de votre marque inconnus. La confiance est augmentée, ce qui augmente les conversions.

• Moins de travail à l'arrière. Cela signifie que vous n'aurez pas à vous déplacer avec des mots de passe. Bien qu'il soit important de réduire votre risque de piratage, il est encore plus important de ne pas avoir à réinitialiser les mots de passe des utilisateurs toutes les cinq minutes. Toute la lourdeur de l'authentification et du mot de passe est gérée par l'authentificateur de confiance.

• Collecte de données. Vous pouvez également accéder à davantage d'informations telles que Google ou Facebook ou quiconque les met à disposition. C'est tous les avantages de la collecte de données sans tous les tracas qui y sont associés.

• Risque réduit. Enfin, vous enlevez cette tarte tentante du rebord de la fenêtre. Les pirates sont moins incités à accéder à votre site si vous n'hébergez pas une tonne d'informations de connexion. Vous êtes également moins susceptible d'avoir un groupe d'utilisateurs avec des mots de passe horriblement faibles qui perturbent la sécurité globale de votre site.

Bref, adopter une solution SSO peut vous faciliter la vie et celle de vos clients.

SSO + MFA : Commodité sans sacrifier la sécurité

Le SSO est pratique, mais il a ses pièges. A savoir, si un compte SSO est piraté, d'autres sous le même système d'authentification peuvent également être ciblés. Une façon de contrer ce risque consiste à mettre en œuvre l'authentification multifacteur (MFA).

SSO combiné avec MFA fait un bien meilleur travail pour protéger les comptes d'utilisateurs que SSO seul. De plus, offrir aux utilisateurs l'efficacité et la facilité qu'offrent MFA et SSO signifie réduire les risques de réinitialisation de mot de passe ou d'appel au service d'assistance.

Commencer

Si votre entreprise est techniquement encline, c'est-à-dire que vous employez des ingénieurs en logiciel de quelque sorte, vous pouvez également consulter le protocole OAuth, qui sous-tend de nombreuses solutions commerciales sur le marché.

Si vous recherchez un outil que vous pouvez intégrer à votre pile technologique actuelle, vous pouvez parcourir le répertoire de gestion des identités de Capterra pour obtenir une liste complète des fournisseurs SSO, où vous pouvez utiliser l'outil de filtrage (côté gauche de l'écran) pour parcourir MFA- produits spécifiques. Notre logiciel d'authentification et nos répertoires d'authentification unique sont tous deux d'excellents endroits pour trouver des outils SSO et MFA.