Les gestionnaires de mots de passe, banques de mots de passe, l’authentification unique : autant de termes que vous avez probablement entendus pour parler des différents moyens qui existent pour sécuriser les mots de passe à l’aide des technologies de gestion des accès et des identités. Mais de quoi s’agit-il ? Quelles sont les différences ?
Les gestionnaires de mots de passe et les banques de mots de passe sont deux termes qui désignent le même type de produit. Ces produits sont des systèmes de stockage sécurisés qui chiffrent et stockent les mots de passe des utilisateurs pour différents sites Web ou applications. En règle générale, l’employé se connecte au gestionnaire de mots de passe avec un mot de passe, puis il peut accéder à tous les mots de passe créés pour leurs applications et sites Web.
Mais les gestionnaires de mots de passe font plus que cela. La plupart de ces gestionnaires génèrent des mots de passe robustes aléatoires que les employés peuvent utiliser sur des sites Web et des applications. Ils proposent désormais également des extensions de navigateur qui vont récupérer les informations d’identification du site sur lequel l’utilisateur est en train de se connecter et remplissent la boîte de dialogue de connexion. L’utilisateur peut se connecter facilement sans avoir à se souvenir de tous ces mots de passe.
L’authentification unique est une technologie différente qui permet aux utilisateurs de s’authentifier de manière sécurisée à des sites Web et applications en ne se connectant qu’une seule fois par jour à l’aide d’un mot de passe unique. Une fois le mot de passe entré, l’utilisateur est connecté automatiquement à l’ensemble de ses applications et sites professionnels sans devoir saisir de nouveau ses informations d’identification.
L’authentification unique ne repose pas sur la recherche du mot de passe de l’utilisateur dans une base de données. Elle s’appuie sur des standards comme SAML ou OpenID Connect pour une connexion basée sur des relations de confiance. En d’autres termes, le site tiers (une application ou un site Web) fait confiance à l’outil SSO qui se charge de vérifier que l’utilisateur est bien la personne qu’il prétend être.
La plupart des gestionnaires de mots de passe actuels sont basés sur le Cloud. Bien évidemment, vous pouvez utiliser un gestionnaire de mots de passe stockant la base de données sur la machine locale de l’employé, mais cela lui complique l’accès à ses mots de passe lorsqu’il se connecte à un site Web depuis son téléphone ou une machine différente. Cela dit, nombre de gestionnaires de mots de passe nécessitent l’installation d’extensions de navigateur ou d’applications mobiles pour un accès à partir de n’importe quel appareil et navigateur. Un gestionnaire de mots de passe Cloud permet également d’éviter la perte de vos mots de passe en cas d’incident sur un serveur ou une machine.
Un gestionnaire de mots de passe Cloud est adapté aux besoins des individus qui souhaitent stocker leurs mots de passe personnels de manière sécurisée. Cette solution est plus sûre qu’une feuille de calcul ou que l’utilisation du même mot de passe pour chaque site (qui est la tactique la plus commune).
Lorsque vous recherchez une solution pour résoudre les problèmes de mots de passe dans votre entreprise, les gestionnaires de mots de passe Cloud ne sont pas forcément la meilleure solution. Les gestionnaires de mots de passe d’entreprise stockent souvent les mots de passe des utilisateurs dans une base de données unique. Ce gestionnaire de mots de passe ne fait que devenir une surface d’attaque supplémentaire pour les pirates. Les recherches récentes d’ISE n’en sont que plus alarmantes. Elles ont montré que certains gestionnaires de mots de passe majeurs exposaient les informations d’identification des utilisateurs en mémoire, même à l’état verrouillé. Même le mot de passe principal du gestionnaire lui-même pourrait être exposé.
L’un des moyens de renforcer la sécurité des banques ou des gestionnaires de mots de passe est d’exiger une authentification multifacteur (MFA). Cela permet de s’assurer que les cybercriminels qui parviennent à obtenir le nom d’utilisateur et le mot de passe d’un compte ne puissent quand même pas se connecter. Malheureusement, tous les gestionnaires de mots de passe ne prennent pas en charge l’authentification multifacteur, ou pas de manière fluide.
De plus, les gestionnaires de mots de passe n’offrent pas le même niveau de sécurité que l’authentification unique (SSO). Ils ne vous permettent pas de gérer les droits d’accès en fonction des rôles ou de la localisation au sein d’une application. Ils ne vous permettent pas d’affiner les accès, par exemple, en limitant l’accès aux données confidentielles ou en exigeant des authentifications plus fréquentes pour les applications avec un accès confidentiel. Ils ne vous permettent pas de mettre en œuvre une authentification intelligente, avec une restriction des accès à certaines applications ou à certains sites lorsque les utilisateurs se connectent depuis un endroit jugé moins sûr.
Contrairement à l’authentification SSO, la plupart des gestionnaires de mots de passe ne se synchronisent pas avec votre annuaire Cloud ou votre système Active Directory pour un accès basé sur les rôles qui offrirait une expérience fluide au service informatique et aux utilisateurs. Ils ne fournissent également habituellement pas les fonctionnalités de contrôle et d’audit très précises exigées pour la conformité à de nombreux standards. Avec l’authentification unique, vous pouvez voir qui s’est connecté et depuis quel endroit, même depuis quelle adresse IP.
Enfin, la plus grande partie des gestionnaires de mots de passe Cloud ne fonctionnent que sur les sites et les applications Web. Ils ne permettent pas de se connecter facilement depuis les applications de bureau ou sur site. Les outils SSO, avec LDAP et des produits comme OneLogin Desktop, peuvent offrir aux employés une expérience de connexion unique qui fonctionne de la même manière sur l’ensemble de leurs applications et appareils. La satisfaction et la productivité des employés en sont améliorées.
Les gestionnaires de mots de passe Cloud associés à l’authentification MFA sont un bon point de départ pour les entreprises plus petites qui ne sont pas prêtes à investir dans l’authentification unique. Mais les entreprises se développant rapidement, de même que les moyennes et grandes entreprises, se rendront rapidement compte que leur gestionnaire de mots de passe Cloud ne suffit pas et qu’elles doivent se tourner vers des outils d’authentification unique plus robustes pour répondre à leurs besoins changeants en matière de sécurité et de facilité d’utilisation.