Explorons une nouvelle approche de l’authentification pour WordPress : la connexion sans mot de passe, une tendance qui façonne l’avenir du web.
Dans un avenir proche, les mots de passe pourraient bien devenir obsolètes. Conçus pour renforcer la sécurité, ils ont paradoxalement engendré plus de problèmes qu’ils n’en ont résolu.
Nous avons d’abord eu les mots de passe complexes, puis l’authentification à deux facteurs, ajoutant des étapes supplémentaires qui complexifient le processus de connexion.
Une alternative récente, connue sous le nom de liens magiques, permet de se connecter en entrant son nom d’utilisateur et en cliquant sur un lien reçu par e-mail, sans avoir à saisir de mot de passe.
Bien que plus sécurisée, car elle repose sur la sécurité de la messagerie électronique, cette méthode n’est pas la plus rapide.
Accès à WordPress sans mot de passe
WordPress est conçu pour être facile à utiliser, mais cette simplicité peut augmenter les risques de sécurité. Bien qu’il soit possible d’imposer des mots de passe complexes avec iThemes Security, l’objectif est d’allier facilité et sécurité.
iThemes Security, un plugin freemium, est un outil essentiel pour renforcer la sécurité de votre site WordPress.
Ce guide est indépendant, mais il peut être utile de consulter d’abord notre évaluation d’iThemes Security Pro.
Outre une multitude de fonctionnalités, iThemes Security Pro permet de mettre en place des connexions biométriques sur votre site WordPress. Vous pouvez ainsi utiliser les fonctions d’authentification d’Apple (Touch ID, Face ID), d’Android (empreinte digitale, code PIN, schéma) et de Windows (Windows Hello).
Une fois configurée, cette option s’affiche sur la page de connexion:
Elle offre une méthode alternative et simple pour accéder à votre site WordPress.
Comprendre les clés d’accès
Cette méthode d’authentification utilise les identifiants biométriques déjà enregistrés sur vos appareils, tels que votre smartphone ou votre ordinateur portable.
En plus d’être la méthode la plus simple pour déverrouiller WordPress, elle est également la plus sécurisée.
Le risque de se faire piéger par une fausse page de connexion (phishing) est minime, contrairement à la saisie classique d’un nom d’utilisateur et d’un mot de passe. Il n’y a pas de telles failles avec les clés d’accès.
Les clés d’accès sont basées sur WebAuthn, un protocole d’authentification cryptographique qui utilise une paire de clés publique et privée.
La clé publique est stockée en ligne, tandis que la clé privée réside sur votre appareil. Ainsi, lorsque vous utilisez votre empreinte digitale sur la page de connexion WordPress, le système reconnaît votre identité et vous donne accès au tableau de bord.
Dans ce cas, vous n’avez qu’à protéger vos données biométriques, contrairement au nom d’utilisateur et au mot de passe qui peuvent être compromis par des attaques de phishing.
Par ailleurs, le développement de WebAuthn a bénéficié de la contribution de géants de la technologie comme Google, Microsoft, Mozilla ou Yubico, gage de sa fiabilité et de sa robustesse.
En résumé, c’est un système sûr et solide.
Mise en place de la connexion biométrique
Malgré la complexité technique du système, la configuration est très simple.
Vous devez d’abord posséder un abonnement iThemes Pro.
Rendez-vous ensuite dans Sécurité > Paramètres du tableau de bord WordPress. Activez les options pour la connexion sans mot de passe et les clés d’accès.
Sans les clés d’accès, la connexion se ferait par lien magique. L’activation des clés d’accès remplace cette option, sauf si vous les activez toutes les deux (ce que nous examinerons plus loin).
L’administrateur peut choisir les utilisateurs concernés par cette nouvelle méthode de connexion dans la section Groupes d’utilisateurs d’iThemes Security Pro.
Vous pouvez sélectionner des groupes d’utilisateurs prédéfinis (administrateurs, auteurs, éditeurs, abonnés, etc.) ou créer un groupe personnalisé avec l’option Nouveau groupe.
L’administrateur peut ensuite activer la connexion sans mot de passe pour les groupes d’utilisateurs sélectionnés :
Il est possible d’utiliser les deux méthodes (lien magique et mot de passe) via l’onglet Configurer > Sécurité de connexion dans les paramètres d’iThemes Security.
La page de connexion affiche alors deux options : Email Magic Link ou Use Your Passkey :
Le lien magique envoie un e-mail de connexion à l’adresse enregistrée. La deuxième méthode affiche une erreur si aucun mot de passe n’a été défini au préalable.
Utilisation des clés d’accès
La première étape pour configurer l’authentification biométrique consiste à se connecter avec votre mot de passe, en cliquant sur l’option située sous le bouton Use Your Passkey.
Au moment de la rédaction de cet article, l’option d’utiliser exclusivement la connexion sans mot de passe n’est pas disponible. Il est donc important d’appliquer une politique de mots de passe complexes, car un utilisateur peut toujours choisir d’utiliser un mot de passe faible. Ces options se trouvent dans Groupes d’utilisateurs > Fonctionnalités. L’âge du mot de passe peut être défini dans Configurer > Sécurité de connexion > Exigences relatives aux mots de passe.
Une fois connecté avec un mot de passe, chaque utilisateur est invité à configurer la connexion biométrique. L’option Ajouter une clé ouvre les options d’authentification de votre appareil local.
Par exemple, sur un PC Windows 10, le système ouvre Windows Hello.
Après avoir saisi le code PIN, vous pouvez vous connecter avec votre nom d’utilisateur et le code PIN Windows.
De même, la configuration peut également être effectuée sur Android ou iOS :
Cette invite ne s’affichera plus si un utilisateur choisit l’option Ignorer la configuration. Il est toujours possible de configurer les clés d’accès dans la section du profil utilisateur WordPress.
Cliquez sur Gérer les clés en bas de la page, puis sur Ajouter une clé pour commencer la configuration.
L’avenir est sans mot de passe !
Sans aucun doute, l’avenir est à la connexion sans mot de passe. Cette méthode d’authentification est la plus sûre et la plus simple disponible aujourd’hui.
Bien que la configuration des clés d’accès doive être effectuée sur chaque appareil, cet effort initial est largement compensé par la facilité et la sécurité des futures connexions.
Ceci conclut notre présentation de la connexion biométrique avec iThemes Security Pro. La version gratuite est performante, mais les fonctionnalités présentées ici font partie de la version premium, à laquelle vous pouvez vous abonner sans risque grâce à la garantie de remboursement.
PS : Les sauvegardes sont essentielles pour tout site Web, et WordPress ne fait pas exception. Découvrez comment effectuer une sauvegarde avec Backupbuddy, un autre produit iThemes.