PC & Mobile

Authentification SMS sans mot de passe: notions de base – ITNEXT

Authentification SMS sans mot de passe: notions de base - ITNEXT


Je souhaite implémenter une authentification SMS sans mot de passe dans mes propres applications depuis longtemps. Je suis toujours un peu désireux d’autres applications qui demandent simplement votre numéro de téléphone mobile, vous recevez un code d’authentification unique et vous êtes authentifié. Bam! Pas de nom d'utilisateur, mot de passe, email, ou les cases à cocher "se souvenir de moi". Parmi toutes les méthodes d'authentification mentionnées dans mes articles précédents pour la connexion à Facebook, la connexion à Google et la connexion à Amazon, cette approche est de loin le moyen le plus simple d'intégrer vos utilisateurs mobiles. Alors, pourquoi ne voyez-vous pas cette option dans plus d'applications? Chaque appareil mobile a un numéro de téléphone, non? Est-ce difficile à mettre en œuvre en tant que développeur? Est-ce trop coûteux et cette échelle peut-elle s’adresser à des millions d’utilisateurs? Les utilisateurs sont-ils à l'aise de fournir leur numéro de téléphone? Et la GRANDE question…, est-ce sécurisé? Nous allons plonger pour répondre à ces questions, puis dans mon prochain article, je proposerai une solution pour l’authentification SMS sans mot de passe pour iOS avec Amazon Cognito et Amazon Pinpoint.

Tout d’abord, passons en revue les trois facteurs d'authentification il est donc clair que nous essayons d’authentifier un utilisateur par SMS. Même avec les progrès de Touch and Face ID, les trois principaux facteurs d'authentification demeurent.

Trois facteurs d'authentification

1. Quelque chose que vous savez - par exemple mot de passe, code clé ou code PIN

2. Quelque chose que vous avez ou possédez - par exemple téléphone portable, YubiKey, ou même une clé physique

3. Quelque chose que vous êtes (pensez Touch ID, Face ID)

Jusqu'à présent, mes articles précédents sur Facebook, Google et Connexion avec Amazon étaient tous axés sur le n ° 1, ce que l'utilisateur sait. Dans ces scénarios, l'utilisateur connaissait ses informations d'identification de connexion sociale, ou simplement lié à une session authentifiée auparavant. Il convient également de mentionner MFA (authentification multi-facteurs) ou même 3FA (authentification à trois facteurs). Lorsque vous entendez parler de ces facteurs mis en œuvre dans les applications mobiles et Web, il ne s'agit que de moyens plus sécurisés d'authentifier un utilisateur lors de son utilisation. deux facteurs d'authentification pour MFA et tout trois facteurs pour 3FA. Plus de facteurs sont impliqués, moins de chances que toutes les formes puissent être falsifiées ou imitées, mais plus difficiles à mettre en œuvre en tant que développeur, sans parler de leur lourdeur pour l'utilisateur.

Maintenant que nous connaissons les trois facteurs d’authentification, nous verrons que l’authentification SMS sans mot de passe fera partie du n ° 2 (quelque chose que l’utilisateur possède ou possède), car le téléphone affichant le code secret SMS unique est quelque chose que l’utilisateur possède. . Remarque: le téléphone compatible SMS ne doit pas nécessairement être le même appareil que votre application.

Alors, récapitulons un instant sur ce sujet, puis on passe à autre chose. L'ajout d'une authentification de base (nom d'utilisateur / mot de passe) à votre application applique # 1 à quelque chose que l'utilisateur connaît et ne constitue qu'une authentification à un facteur. Pour les SMS sans mot de passe, nous appliquons également une authentification à un facteur, mais en utilisant le facteur n ° 2, un élément que possède l'utilisateur, tel qu'un téléphone portable. Si nous appliquions à la fois l’authentification de base ET un code d’accès unique SMS, cela serait considéré comme une AMF, car nous appliquons deux facteurs d’authentification au moins. Si tout va bien, je ne suis pas trop redondant, mais ce n’était pas clair pour moi au début. Je veux donc m'assurer que vous exécutez ce projet et que vous appliquez ces concepts à toutes les applications à venir.

Pourquoi une authentification SMS sans mot de passe?

L’authentification SMS sans mot de passe dans votre application est la moyen le plus simple d'intégrer un utilisateur. Ses pratique, garantir (voir ci-dessous), et facile à mettre en œuvre. Cela supprime la barrière pour vos utilisateurs, un peu comme ajouter Facebook et les identités fédérées à Google facilite l'authentification de base, car l'utilisateur n'a pas à créer de crédits supplémentaires. Même avec une pléthore de gestionnaires de mots de passe comme 1Password et LastPass, les utilisateurs ne souhaitent toujours pas configurer un autre combo utilisateur / pass, et la plupart du temps, ils ne peuvent même pas se souvenir du nom d'utilisateur qu'ils ont utilisé. Ou, pire encore, ils utilisent le même nom d'utilisateur / mot de passe pour tous leurs comptes.

Comment fonctionnent les SMS sans mot de passe?

L’authentification SMS sans mot de passe n’est qu’un facteur supplémentaire d’authentification par rapport à une plate-forme sécurisée en possession de l’utilisateur, dans ce cas, son téléphone portable. Lorsqu'un utilisateur mobile s'authentifie pour la première fois dans votre application, il est invité à entrer son numéro de téléphone. En retour, il reçoit un code d'authentification unique de l'application côté développeur du développeur sur le périphérique physique sous la forme d'un SMS. message. L'utilisateur entre le code d'accès SMS dans l'application et ils sont authentifiés. S'il s'agit de la première fois (inscription), un compte est créé pour l'utilisateur. Dans le cas contraire, il est authentifié et utilisera l'identifiant d'identité unique existant fourni par le fournisseur d'identité. Dans mon prochain article, nous utiliserons des groupes d'utilisateurs Amazon Cognito en tant que fournisseur d'identité et enverrons des SMS via Amazon Pinpoint. Pour que cette méthode fonctionne, l'utilisateur doit fournir un numéro de téléphone correct capable de recevoir des messages SMS ET d'avoir un accès physique au périphérique recevant le code d'accès SMS.

Voici à quoi ressemble un flux d’authentification SMS sans mot de passe:

Le SMS sans mot de passe est-il sécurisé?

Oui. Comparativement à l'authentification de base, la plupart des utilisateurs fournissent des mots de passe très faibles et réutilisent souvent le même mot de passe dans toutes les applications. Une combinaison de ces pratiques augmente le risque qu'une personne ou une application devine les informations d'identification d'un utilisateur et les imite. Le seul risque évident ici est que si quelqu'un accède au téléphone physique et contourne la sécurité du téléphone pour lire les SMS.

Si les SMS sans mot de passe sont si intéressants, pourquoi voyons-nous si peu d'adoption de la part des développeurs?

Les développeurs peuvent ne pas adopter de SMS sans mot de passe dans leur application pour plusieurs raisons. L'une des principales raisons est l'infrastructure. J'ai mentionné précédemment que cette solution est facile à mettre en œuvre, mais vous devez utiliser un fournisseur de cloud ou un service tiers pour gérer les SMS avec les opérateurs. Auth0, Twilio, okta et Amazon Cognito ne sont que quelques services qui rendent cette solution sécurisée et facile à utiliser.

Une autre raison de cette baisse d’adoption est le coût supplémentaire des SMS, en particulier des SMS globaux et des prix variables. Même s'il s'agit de codes de passe uniques et non de MFA (un code de passe envoyé chaque fois qu'un utilisateur tente d'accéder à l'application), le coût par message SMS est plus onéreux que les options GRATUITES de fédération de Facebook et de Google.

Un dernier obstacle à l’adoption de SMS sans mot de passe est que votre application sera probablement exécutée sur des appareils mobiles n’ayant pas de numéro de téléphone ou de forfait cellulaire, comme une édition Wi-Fi pour iPad. Dans ce cas, l'utilisateur doit avoir son téléphone portable à portée de main lorsqu'il souhaite s'authentifier sur un appareil non cellulaire. Encore une fois, la plupart du temps, ce n’est pas un problème, mais dans ma famille, mon fils a un iPad Wi-Fi et pas de téléphone compatible SMS / SMS. Ainsi, dans ce cas, le développeur devrait proposer des facteurs d’authentification supplémentaires, tels qu’un nom d’utilisateur / mot de passe de base. Pas trop radical, mais ajoute une barrière supplémentaire et c’est la raison pour laquelle la plupart des développeurs mobiles offrent aux utilisateurs plusieurs façons de s’authentifier.

Dernières pensées

L'authentification SMS sans mot de passe pour votre application peut améliorer l'expérience utilisateur et permettre à ceux-ci de s'authentifier rapidement et d'utiliser votre application. Il y a beaucoup de pertes d'utilisateurs au cours des premiers jours critiques qui suivent l'installation de votre application. Amener l'utilisateur à utiliser l'application et à l'utiliser doit être transparent. Le simple fait d’envoyer un mot de passe unique par SMS peut être une fonctionnalité unique qui peut considérablement augmenter la rétention des utilisateurs. Je suis impatient de vous montrer les détails de la mise en œuvre et un exemple d'application iOS dans mon prochain article!

Références:

Comment l'authentification SMS sans mot de passe peut améliorer votre application:

https://auth0.com/blog/how-passwordless-sms-authentication-can-improve-your-app/

Authentification à trois facteurs par Gemalto:

https://blog.gemalto.com/security/2011/09/05/three-factor-authentication-something-you-know-something-you-have-something-you-are/

Show More

SupportIvy

SupportIvy.com : Un lieu pour partager le savoir et mieux comprendre le monde. Meilleure plate-forme de support gratuit pour vous, Documentation &Tutoriels par les experts.

Related Articles

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Close
Close