Ce que pensent les utilisateurs de la connexion sans mot de passe

De nombreux utilisateurs considèrent les mots de passe comme extrêmement contraignants. Un protocole d’authentification pour les sites Web, appelé WebAuthn, pourrait les rendre obsolètes. Les utilisateurs peuvent l’utiliser pour se connecter à un service tel qu’un réseau social ou une plateforme d’achat en ligne avec leur smartphone ou leur ordinateur. Le processus est simple et rapide lors de l’utilisation de données biométriques telles que l’empreinte digitale ou la reconnaissance faciale, qui sont souvent déjà stockées pour déverrouiller l’appareil. « Il n’est pas surprenant que cela puisse donner l’impression que les données biométriques sont transmises au site Web auquel vous souhaitez vous connecter, comme un mot de passe. Mais c’est une idée fausse », déclare Leona Lassak de Ruhr-Universität Bochum (RUB ).

Une équipe de RUB, du Max Planck Institute for Security and Privacy (MPI-SP) à Bochum et de l’Université de Chicago s’est attaquée à ces idées fausses et à d’autres. Dans plusieurs études en ligne, ils ont laissé 414 utilisateurs essayer la nouvelle connexion WebAuthn et leur ont demandé leurs premières impressions et préoccupations concernant sa sécurité, sa convivialité et sa confidentialité.

Leona Lassak du Horst Görtz Institute for IT Security de la RUB et le Dr Maximilian Golla du MPI-SP, ainsi qu’Annika Hildebrandt et le professeur Blase Ur de l’Université de Chicago, publieront les résultats lors de la conférence USENIX Security le 11 août 2021 Le document est disponible en ligne depuis le 21 juin 2021.

Comment fonctionne WebAuthn

WebAuthn fait partie de la nouvelle norme FIDO2, qui vise à rendre les mots de passe obsolètes. Actuellement, lorsque les utilisateurs souhaitent se connecter à un service, ils entrent simplement un nom d’utilisateur et un mot de passe. À l’avenir, les utilisateurs pourraient à la place s’authentifier simplement en utilisant leur appareil. Pour s’assurer qu’une personne au hasard qui trouve un smartphone perdu ne puisse pas se connecter à toutes sortes de services, les utilisateurs doivent confirmer le processus de connexion avec le code PIN de leur smartphone ou la biométrie. Certains services comme l’américain eBay ou Microsoft proposent déjà le login WebAuthn.

Leona Lassak explique le problème : « Pour l’utilisateur, il semble qu’il se connecte au service en ligne avec son empreinte digitale. En fait, son empreinte digitale ne déverrouille qu’une clé cryptographique, qui est stockée sur l’appareil de l’utilisateur et est ensuite utilisée pour la connexion réelle. »

Confusion parmi les utilisateurs novices

Près de 70 % des personnes interrogées n’étaient pas sûres ou pensaient à tort que leurs données biométriques seraient partagées avec le site Web sur lequel elles tentaient de se connecter. « Il est important de résoudre ces malentendus, car ils compromettent la volonté des gens d’utiliser la nouvelle connexion sécurisée, « , explique Annika Hildebrandt, auteur de l’Université de Chicago.

Un autre problème survient si le capteur d’empreintes digitales ne fonctionne pas. En fait, il est possible de saisir le code PIN du smartphone alternativement. Cependant, comme l’interface utilisateur ne rend pas cette option très claire, 60% des utilisateurs pensaient qu’ils perdraient l’accès à leur compte dans ce cas. Les chercheurs ont également demandé aux participants si leurs comptes seraient en sécurité si leur smartphone était volé. 93% des personnes interrogées se sentaient suffisamment protégées en raison de leur biométrie, mais ne savaient pas qu’un attaquant pouvait également accéder à leurs comptes en devinant le code PIN du smartphone.

Combattre les idées fausses

Les chercheurs ont laissé sept groupes de discussion développer des textes et des graphiques qui visent à prévenir ces idées fausses et à communiquer la fonctionnalité compliquée de WebAuthn. Sur la base de ces textes, les chercheurs ont mis en place six notifications et les ont comparées dans une étude en ligne.

« Le plus efficace pour lutter contre les idées fausses est de communiquer explicitement que les données d’empreintes digitales et de visage ne sont jamais transmises au site Web », explique Annika Hildebrandt. Il était moins efficace de souligner les inconvénients des mots de passe ou de mentionner les entreprises dignes de confiance qui ont contribué à développer la norme WebAuthn.

Adoption croissante

Malgré tous les malentendus et les inquiétudes, les participants ont évalué la connexion biométrique plus haut que les mots de passe traditionnels, car ils ont été particulièrement impressionnés par sa vitesse et sa facilité d’utilisation. À l’avenir, les chercheurs ont l’intention d’accroître encore l’acceptation de WebAuthn pour rendre ses avantages accessibles à tous les utilisateurs.