Introduction
Dans cet article, je vais traiter du principe de l’authentification sans mot de passe, communément appelé passwordless en anglais.
Avant cette approche et depuis l’avènement du mot de passe dans les années 60, le mot de passe est le moyen qui permet de s’authentifier lorsqu’il est nécessaire d’accéder à un ordinateur, une application, un service web.
Qu’est-ce que le Passwordless ?
Le principe du passwordless est de s’authentifier sans l’utilisation d’un mot de passe et plus précisément c’est d’utiliser autre chose qu’un mot de passe.
Pourquoi le passwordless ?
Pour augmenter sa posture de sécurité lors d’accès à des actifs critiques, mais aussi se protéger contre des attaques communes telles que la brute force, l’hameçonnage, l’attaque de fatigue MFA (Push bombing).
Comment l’implémenter / Bonnes pratiques
Je vous propose un scénario simple mais assez réaliste dans un contexte où vous êtes amené à administrer un actif critique à distance. L’actif en question est votre PKI qui sera administré à l’aide d’un flux SSH.
L’authentification de type passwordless implémentée est basée sur l’utilisation d’une clé de sécurité de chez Yubico [1] , la Yubikey !
Côté serveur, nous sommes en présence d’un Debian 13 et, du côté client, d’une Archlinux.
J’ai enregistré tout cela en vidéo et le monsieur est assez expressif au moment de constater que cela a fonctionné du 1ᵉʳ coup. 🥳
Conclusion
Comme vous avez pu le constater, la mise en place du passwordless n’est pas si compliquée et le gain de sécurité est assez intéressant.
Si vous envisagez prochainement de déployer du passwordless, pensez toujours à avoir une deuxième clé au cas où la première est volée, perdue, défectueuse.
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.