Présentation de la solution PingOne for Customers Passwordless

La compétition pour proposer une solution passwordless fluide et prête à l’emploi a commencé, et PingOne for Customers Passwordless est dans les starting blocks.

Nous sommes très heureux de vous présenter PingOne for Customers Passwordless, une solution passwordless basée dans le cloud qui supporte sans effort tous les types d’identités clients, sur une grande échelle, avec un un minimum de configuration nécessaire. Elle permet aux entreprises de créer et de mettre en place rapidement des méthodes d’authentification passwordless pour les clients, et de délivrer des expériences plus fluides sans compromettre la sécurité. PingOne for Customers Passwordless est compatible avec de nombreux cas d’usage, qu’il s’agisse d’inscriptions via le single sign-on (SSO) des réseaux sociaux ou d’un vaste éventail d’options passwordless telles que des magic links par email, des OTP, et des méthodes avancées d’authentification biométrique (FIDO) utilisant des passkeys, et bien plus encore !

Plus d’informations à suivre. Mais commençons par revenir sur l’histoire des mots de passe et de l’authentification passwordless pour aborder la séquence des événements qui ont inspiré cette nouvelle solution.

Même si vous êtes déjà probablement au fait des nombreux inconvénients associés aux mots de passe, il est important de reposer les bases pour aborder ce sujet. Donc, commençons par présenter brièvement les inconvénients des mots de passe et les mérites d’une authentification passwordless.

Les clients veulent des expériences rapides et sans frictions, mais ils veulent aussi que les organisations sécurisent leurs informations personnelles. Cela a conduit des organisations à poursuivre la mise en place d’expériences sans mots de passe pour leurs clients.

Compte tenu de la pléthore de problèmes associés aux mots de passe, cela ne devrait pas être surprenant. 1, en moyenne, un individu utilise 191 services qui lui demandent de s’authentifier avec des mots de passe traditionnels ou autres identifiants¹ – cela fait beaucoup à gérer, en particulier car les règles qui les sous-tendent sont de plus en plus complexes et fastidieuses. En fait, une étude auprès des consommateurs américains a montré que, en moyenne, un consommateur abandonne 16 achats en ligne par an en raison de frustrations liées aux mots de passe². SDe plus, les mots de passe créent des risques en termes de sécurité, confirmés par le fait que 80 % des failles impliquent des attaques par force brute ou bien des identifiants perdus ou volés³. Pour faire simple, les mots de passe traditionnels ne sont ni sûrs ni intuitifs pour les utilisateurs, ils ajoutent certainement des frictions à vos processus d’achat et empêchent votre entreprise d’optimiser ses revenus.

Dans le même temps, les performances de l’authentification passwordless sont à l’inverse des mots de passe traditionnels, en raison de sa capacité potentielle à renforcer la sécurité des clients et à accroître les revenus via une hausse du taux d’engagement et une baisse du taux d’abandon. De ce fait, il n’est pas surprenant de constater que la course vers le passwordless pour les clients fasse fureur ces derniers temps.

Pour résumer, les mots de passe traditionnels sont, pour l’essentiel, obsolètes et l’authentification passwordless pour les clients est une solution gagnant/gagnant évidente que toutes les organisations tendent probablement déjà à mettre en place.

Vous êtes d’accord ?

Malheureusement, malgré sa capacité potentielle à améliorer à la fois la sécurité et l’expérience client, il existe un bémol : il apparaît que le fait de configurer et déployer avec succès les bons scénarios passwordless pour les clients dans vos applications et vos sites web peut être excessivement difficile pour une multitude de raisons. Pour illustrer ce mystère, une récente enquête sur le passwordless impliquant 600 leaders de l’informatique a montré que :

• D’un côté, 100 % des personnes interrogées ont déclaré reconnaître les avantages du passwordless.

   

• Mais d’un autre côté, au sein de ce même groupe, 83 % de ceux n’ayant pas actuellement de projet passwordless ont reconnu avoir des réticences concernant sa mise en œuvre dans leur environnement.

Mais qu’est-ce qui les retient ?

Même si les professionnels de la sécurité savent généralement déjà qu’ils doivent passer au passwordless, de nombreux obstacles les en empêchent, les trois plus fréquents étant :

Obstacles liés à l’intégration : Intégrer une solution passwordless a des larges implications. Bien souvent, les équipes en charge des applications ne sont pas préparées pour réaliser un tel basculement, car il nécessite de gros efforts de programmation. Ceci se traduit par un besoin accru en termes de ressources de développement, de temps et d’investissements qui, tous, sont souvent limités.

S’adapter à divers scénarios d’utilisateurs : Les organisations doivent souvent s’adapter à divers types d’identités clients, tout en respectant des réglementations spécifiques à certains secteurs ou zones géographiques. Ces différentes catégories d’organisations ont souvent besoin de méthodes d’authentification distinctes. Par exemple, si les banques mettent FIDO2 en priorité, les entreprises de la grande distribution peuvent préférer des scénarios d’authentification moins sécurisés mais avec moins de frictions, comme des magic links par email. Alors que d’autres organisations peuvent donner la priorité au choix des clients, par exemple en leur permettant de choisir, selon leur préférence, entre une authentification par OTP envoyé par email ou par SMS, ou bien avec des notifications en push sur des applis mobiles.

Dans tous les cas, cela soulève un point important qui conduit à l’obstacle numéro trois :

Manque de solutions passwordless prêtes à l’emploi : Le Passwordless n’est pas une solution unique en soi, mais plutôt une solution qui requiert l’intégration personnalisée de multiples technologies et produits différents. Chaque organisation étant différente et possédant des technologies et des besoins distincts en matière de scénarios utilisateur, passer au passwordless peut être très complexe et requérir des intégrations sur mesure impliquant divers produits et technologies. De ce fait, il n’existe pas de modèle unique et standardisé pour passer au passwordless. En réalité, chaque organisation a généralement besoin de sa propre approche, personnalisée.

Pour bon nombre d’entre elles, la combinaison 1) des contraintes en termes de ressources de développement et 2) du besoin de s’adapter à divers scénarios d’utilisateurs ainsi qu’à leurs exigences de cas d’usage spécifiques, en plus de 3) l’absence de solutions prêtes à l’emploi, représente un obstacle significatif pour passer au passwordless et cela freine souvent les efforts réalisés pour l’adopter.

PingOne for Customers Passwordless a été explicitement conçu pour répondre aux difficultés uniques auxquelles les organisations sont confrontées lorsqu’elles doivent choisir et mettre en place des méthodes d’authentification passwordless pour leurs clients. La solution combine un moteur d’orchestration no-code en glisser-déposer avec des modèles de flux passwordless, le single sign-on (SSO), l’authentification multifacteur (MFA), la gestion des utilisateurs et des services de réduction des risques. Ceci permet aux administrateurs de concevoir, tester et déployer rapidement diverses expériences d’inscription et d’authentification passwordless prêtes à l’emploi pour divers types d’identités clients, le tout à grande échelle, avec seulement un minimum de configuration manuelle.

En plus des Ping Identity Services de base, les principales caractéristiques de PingOne for Customers Passwordless comprennent :

1. Des modèles de flux Passwordless pré-configurés : Démarrez rapidement avec des modèles pré-configurés pour les flux passwordless, incluant des parcours utilisateur pour l’inscription, l’authentification ainsi que l’enregistrement et la gestion des terminaux.

    

2. Passwordless Getting Started Experience : Testez rapidement divers parcours utilisateurs passwordless sans configuration manuelle ni programmation personnalisée, grâce à PingOne Solution Designer.

    

3. Expériences de migration du Password vers le Passwordless : Faites progressivement migrer les utilisateurs des mots de passe vers une authentification passwordless sans compromettre la sécurité.

    

4. Politiques par défaut en matière de risques et d’authentification : Démarrez avec des politiques pré-configurées pour les risques et l’authentification, qui s’alignent avec les meilleures pratiques de l’industrie.

    

5. Détection des menaces en temps réel : Évaluez l’-activité des utilisateurs en temps réel, attribuez des scores de risque et mettez en place des politiques de réduction des risques pour prévenir les fraudes liées à l’identité.

    

6. Gestion sécurisée des profils en libre service : Proposez à vos clients des modèles prédéfinis de flux de gestion des profils pour gérer leurs comptes, leurs préférences et leurs terminaux de confiance.

Des fonctionnalités, avantages et caractéristiques supplémentaires de PingOne for Customers Passwordless sont décrits plus en détail dans la Fiche technique et dans la Fiche produit.

PingOne for Customers Passwordless inclut des modèles de flux DaVinci pré-configurés et prêts à l’emploi qui correspondent aux cas d’usage du passwordless client les plus courants. Ces modèles sont conçus pour faciliter différents types d’authentification client passwordless, et sont proposés au sein de DaVinci mais aussi comme des choix qu’un administrateur peut tester au sein du Getting Started Experience. Lorsqu’un administrateur choisit l’une des options passwordless, le flux au sein de PingOne DaVinci est activé et prêt à être testé dans l’application test de PingOne.

PingOne for Customers Passwordless peut créer des parcours utilisateur passwordless qui exploitent toutes les méthodes d’authentification disponibles supportées par la plateforme PingOne Cloud ainsi que les modèles de flux passwordless pré-configurés pour les méthodes d’authentification suivantes :

• Magic Link par email

• OTP par SMS

• OTP par Email

• FIDO2

Exploiter ces modèles de flux préconfigurés permet de créer des expériences d’inscription et d'authentification client prêtes à l’emploi pour les scénarios passwordless les plus courants. Ceci permet aux administrateurs de concevoir, tester, déployer et optimiser rapidement des parcours clients fluides et sécurisés qui utilisent tous les services de gestion des identités de leur organisation.

Les administrateurs peuvent choisir les expériences passwordless qui sont adaptées à leurs utilisateurs et les tester dans un simple wizard qui utilise des flux d’orchestration pré-configurés de PingOne DaVinci pour bénéficier des avantages suivants :

• Éliminer les procédures fastidieuses conduisant à passer des heures et des jours à définir des exigences techniques tout en configurant manuellement leurs solutions d’authentification passwordless préférées.

   

• Ne plus se demander « par où commencer » et rendre obsolète l’approche « aucun produit ne répond à tout » pour passer au passwordless auxquels les administrateurs sont typiquement confrontés en les guidant à l’aide d’une série de sélections adaptées à leurs objectifs.

Figure 1. Exploitez des modèles de flux pré-configurés DaVinci qui permettent d’obtenir des expériences client d’inscription et d’authentification passwordless prêtes à l’emploi.

LePasswordless Getting Started Experience est un concepteur de solutions qui permet aux administrateurs de tester rapidement et en quelques clics plusieurs expériences pour les utilisateurs finaux. Elle offre une interface intuitive qui utilise des flux d’orchestration passwordless pré-configurés. Ceci permet de concevoir et de tester rapidement des expériences client passwordless sécurisées et sans friction en seulement quelques clics et en quelques minutes, plutôt que plusieurs jours ou semaines, en économisant ainsi concrètement énormément de temps et de ressources.

Voici comment cela fonctionne :

Le Passwordless Getting Started Experience est un simple wizard qui guide les administrateurs à travers les étapes essentielles permettant de paramétrer rapidement leur solution passwordless. Les administrateurs peuvent personnaliser leur solution passwordless et la tester immédiatement avec une appli test intégrée, en choisissant notamment les expériences d’authentification clients et les options de gestion de profil.

Les administrateurs commencent par choisir l’une des deux expériences d’inscription :

1. Proposer le passwordless : Idéal pour faire migrer des utilisateurs existants qui ont déjà un mot de passe vers une expérience passwordless au sein d’une application existante.

    

2. Demander le passwordless : Adaptée à de nouvelles applications et à celles sans utilisateurs existants ayant déjà des mots de passe. Les utilisateurs seront invités à faire la transition vers des méthodes passwordless, dont les OTP par email ou par SMS, les magic links par email, l’authentification biométrique FIDO2 ou la connexion via les réseaux sociaux.

Figure 2. Les administrateurs choisissent l’une des deux expériences d’enregistrement présentées plus haut, chacune d’entre elles correspondant à des parcours utilisateurs différents et des choix d’options propres à leurs configurations.

Les administrateurs peuvent ensuite choisir les options passwordless qu’ils veulent tester, couvrant l’inscription, l’authentification, la gestion du profil et la récupération de compte. Ceci vous permet de concevoir et de tester votre solution passwordless, y compris la disponibilité de plusieurs méthodes de MFA pour vos utilisateurs.

Figure 3. Ensuite, les administrateurs peuvent choisir les options passwordless qu’ils veulent tester dans leur environnement. Ces étapes incluent l’inscription, l’authentification, la gestion du profil et la récupération de compte. Ceci permettra aux administrateurs de personnaliser et de configurer leurs solutions passwordless, notamment en choisissant les méthodes de MFA que vous souhaitez mettre à la disposition de vos clients.

Enfin, des fonctionnalités en libre-service permettent aux utilisateurs de gérer en toute sécurité leurs préférences sur tous les terminaux et de personnaliser leurs comptes sans avoir besoin d’assistance.

Figure 4. Des fonctionnalités de libre-service permettent aussi aux utilisateurs de gérer en toute sécurité leurs préférences sur tous leurs terminaux et de personnaliser leur compte sans contacter le service d’assistance.

Pour récapituler, la solution passwordless permet à ceux qui en font l’expérience de contourner les procédures typiquement longues et fastidieuses consistant à définir des exigences techniques tout en concevant manuellement leurs solutions d’authentification passwordless à partir de zéro. Au lieu de cela, les administrateurs peuvent simplement choisir parmi de multiples flux d’orchestration pré-configurés et prêts à l’emploi, les tester dans une application test puis les déployer pour leurs clients.

Désormais, pour mettre en place une authentification passwordless pour les clients, finie l’époque où il fallait recruter une armée de développeurs passant des mois à rassembler des éléments pour créer une solution à partir d’outils non intégrés de façon native. PingOne for Customers Passwordless est une solution d’avant-garde à l’ère des solutions pré-intégrées et prêtes à l’emploi. Elle fournit aux équipes un moyen simple de commencer à résoudre un problème qui n’est pas si simple, tel que passer au passwordless, et elle réduit considérablement les barrières à l’entrée en s’appuyant sur des composants préconfigurés, dont des flux d’orchestration et des politiques. PingOne for Customers Passwordless est la première solution de ce genre et s’affirme comme une solution qui change la donne en réduisant considérablement les difficultés de la mise en œuvre du passwordless pour les clients.

Les nouveaux problèmes nécessitent de nouvelles solutions. La combinaison des services IAM haute performance de Ping Identity, des flux d’orchestration passwordless préconfigurés générés par PingOne DaVinci, et de l’interface intuitive dePasswordless Getting Started Experience simplifient l’une des facettes les plus difficiles de la mise en œuvre de l’authentification passwordless pour les clients, en résolvant directement les obstacles les plus importants auxquels les équipes IAM sont confrontées, et en leur permettant de :

• Simplifier des procédures manuelles précédemment complexes grâce à la capacité de concevoir et de tester des expériences client passwordless sécurisées et sans frictions en seulement quelques clics et en quelques minutes, plutôt que plusieurs jours ou semaines.

   

• Choisir les meilleures expériences passwordless pour leur environnement, les cas d’usage spécifiques en question, et, surtout, les besoins de leurs clients.

   

• Économiser du temps et de l’argent en réduisant considérablement les efforts de développement, en libérant réellement des ressources pour se concentrer sur d’autres projets stratégiques.

Envie d’en savoir plus ? Pour découvrir PingOne for Customers Passwordless, rendez-vous sur la page des tarifs PingOne Cloud, ou contactez dès aujourd’hui votre représentant chez Ping Identity.

¹ From Exposure to Takeover: The 15 billion stolen credentials allowing account takeover, Digital Shadows, 2020, Source

² 16 Online Purchases Abandoned Every Year Due to Password Frustration: iProov, 2020, Source

³ Verizon 2020 Data Breach Investigations Report; Source