Solutions SSO et de gestion des mots de passe : tout ce qu’il faut savoir

Il est vrai que les solutions de gestion des mots de passe et d’authentification unique (SSO) ont le même objectif : permettre aux utilisateurs de se connecter facilement à différentes applications. Avec les deux méthodes, un utilisateur peut débloquer l’accès à plusieurs sites Web et applications par le biais d’une seule connexion. Ces similitudes expliquent pourquoi les gens se demandent souvent si l’authentification SSO et les gestionnaires de mots de passe désignent la même chose.

Eh bien, ce n’est pas le cas. Les deux techniques prennent en charge la connexion multiapplicative, mais de manière fondamentalement différente. Dans cet article, nous examinerons ces techniques plus en détail et nous vous aiderons à choisir la solution qui convient le mieux à votre organisation.

Habituellement, les solutions de gestion des mots de passe stockent les mots de passe des utilisateurs dans un coffre-fort sécurisé. L’accès à un gestionnaire de mots de passe est protégé par un mot de passe principal. Chaque fois qu’un utilisateur commence sa journée, il se connecte au gestionnaire de mots de passe à l’aide de son mot de passe principal. Ensuite, le gestionnaire de mots de passe saisit automatiquement les mots de passe de l’utilisateur pour toutes les applications et sites Web autorisés.

Le processus de connexion est facilité pour l’utilisateur, puisqu’une seule connexion lui permet d’accéder à l’ensemble de ses applications et sites Web favoris. Cela incite également à utiliser l’utilisation de mots de passe complexes : les utilisateurs n’ayant qu’un seul mot de passe à créer et à retenir, ils sont plus enclins à le rendre sûr et difficile à deviner.

Mais les gestionnaires de mots de passe ont toujours un problème inhérent : les mots de passe. Même si les mots de passe sont compliqués et apparemment impossibles à deviner, ils restent intrinsèquement sensibles aux attaques par ingénierie sociale, par hameçonnage et par force brute. À tel point que les mots de passe mal sécurisés sont à l’origine de 81 % de toutes les violations de données.

La compromission d’un mot de passe principal permettrait à un cybercriminel d’accéder à toutes les applications et à tous les systèmes auxquels un utilisateur est autorisé à accéder. Cela crée un point de défaillance unique.

D’un autre côté, la solution SSO ne se limite pas à la simple utilisation de mots de passe pour l’authentification. Elle accorde l’accès sur la base de la confiance. L’authentification SSO établit des relations de confiance entre différentes applications et les utilise pour déterminer si l’utilisateur doit se voir accorder l’accès.

Les attributs d’identité d’un utilisateur (nom d’utilisateur/mot de passe, identifiants d’appareil, emplacement géographique, etc.) sont stockés et vérifiés lors de la connexion (on parle alors d’identité fédérée). Ces attributs sont également partagés avec d’autres applications et systèmes de confiance. Cela signifie que si un utilisateur a la confiance d’un système, il a automatiquement la confiance des autres systèmes qui ont une relation de confiance avec ce système spécifique. Plus besoin de gérer plusieurs mots de passe.

Les applications SSO modernes réalisent la fédération des identités au moyen de protocoles tels que SAML 2.0 et OpenID Connect. L’authentification SSO a pour principal avantage de vous permettre d’interconnecter n’importe quel système prenant en charge la fédération des identités. Par exemple, vous pouvez l’intégrer à votre VPN, à vos pare-feu, à vos applications mobiles, ainsi qu’à vos ressources Cloud et locales. Les gestionnaires de mots de passe ne présentent pas le même niveau d’interopérabilité.

Les applications SSO modernes permettent aux administrateurs de collecter différents attributs d’une demande de connexion (par exemple, l’adresse IP, l’identifiant de l’appareil, la ressource demandée, le navigateur, etc.) et de s’en servir pour établir le contexte de connexion. Ce contexte peut ensuite être utilisé pour créer des stratégies d’accès personnalisées.

Par exemple, si une ressource interne est accédée à partir d’un appareil inconnu, la demande doit être refusée, même si les informations d’identification fournies sont correctes. Ou si l’adresse IP d’un utilisateur est en dehors de la plage d’adresses IP configurée, il doit être redirigé vers l’écran d’authentification multifacteur (MFA).

• Les utilisateurs ne doivent se souvenir que d’un seul mot de passe principal.
• Les mots de passe peuvent être générés et réinitialisés automatiquement.
• Étant donné qu’un utilisateur ne doit se souvenir que d’un seul mot de passe, il est plus susceptible de le rendre aussi complexe que possible.

• Les mots de passe sont vulnérables aux attaques par hameçonnage, par ingénierie sociale et par dictionnaire.
• Il n’est jamais judicieux de regrouper toutes les données sensibles au même endroit.
• Le service informatique a un contrôle limité sur le processus de connexion et ne peut pas créer de stratégies d’authentification personnalisées.
• Si vous oubliez votre mot de passe principal, vous perdez l’accès à tout, sans compter que la réinitialisation des mots de passe principaux prend beaucoup de temps.

• Les utilisateurs bénéficient de la commodité d’une connexion unique tout en garantissant des niveaux de sécurité élevés.
• Au lieu de multiples mots de passe, des relations de confiance sont utilisées entre les applications.
• Le service informatique peut évaluer le contexte de connexion et créer des stratégies d’accès appropriées.
• Même si les informations d’identification sont compromises, les stratégies de détection des anomalies peuvent intervenir et refuser l’accès.
• Il est possible d’intégrer toutes les applications qui prennent en charge la fédération des identités.
• Elle utilise des protocoles standardisés, tels que SAML 2.0 et OpenID Connect, pour sécuriser la transmission des données sensibles des utilisateurs.

• La mise en place et la configuration des solutions SSO peuvent prendre du temps.
• Il peut être difficile d’intégrer des applications existantes.

Dans la plupart des cas, il est judicieux de choisir l’authentification SSO plutôt qu’une solution de gestion par mot de passe. L’authentification SSO est l’approche moderne. Elle réduit la dépendance à l’égard des mots de passe, autorise des stratégies d’accès personnalisées et élargit l’interopérabilité. Toutefois, cela ne signifie pas que vous ne devriez jamais envisager de recourir à des gestionnaires de mots de passe.

Dans certaines situations, il vaut mieux opter pour un gestionnaire de mots de passe plutôt que pour une solution SSO. Par exemple, si vous avez plusieurs applications existantes qui ne sont pas compatibles avec SAML, un gestionnaire de mots de passe est absolument le choix idéal.

L’important est de bien peser ses options avant de choisir, et de comprendre les avantages et inconvénients de chaque méthode. Découvrez comment chacune d’elles répond aux besoins de votre entreprise pour prendre ensuite une décision éclairée.