Si vous interrogez un groupe de 100 professionnels de la sécurité, vous aurez du mal à en trouver un seul qui défendrait les mots de passe comme un outil d’authentification viable et sécurisé. De ce point de vue, il n’est pas surprenant que Visa ait officiellement déclaré qu’elle cesserait d’utiliser des mots de passe statiques pour son programme de commerce électronique vérifié par Visa.
Ce qui est surprenant, c’est le timing de la plus grande marque de cartes au monde. L’engagement d’abandonner les mots de passe pour ce seul programme n’était pas de les faire disparaître d’ici la saison des achats des Fêtes de cette année. Ou pour la saison des achats des fêtes de l’année prochaine. Non, le plan annoncé par Visa était de débarrasser son monde vérifié par Visa du « mot de passe 1234 » d’ici avril 2018. Bon de voir que ce risque d’authentification est pris si au sérieux.
Pour être juste, changer une technique d’authentification nécessite de nombreuses entreprises pour apporter des modifications au système. Et quand vous êtes aussi énorme que Visa — rien qu’au dernier trimestre, Visa a déclaré qu’il en avait traité 19.8 milliards de transactions – ces choses prennent du temps. Mais quand même, avril 2018?
« Ces types d’initiatives sont bien intentionnées, mais mal exécutées », a déclaré Jason Tan, PDG de Sift Science. » Le plus grand obstacle, ce sont eux-mêmes, leur inertie. »
Quelle sera la norme de fait ?
La coupure lointaine du mot de passe de Visa donne à la marque de carte suffisamment de temps pour voir vers quelle méthode d’authentification l’industrie gravite. Personnellement, j’aurais préféré un peu plus de leadership de Visa pour indiquer ce vers quoi il se dirigera et expliquer pourquoi tout le monde devrait suivre.
Visa a parlé des efforts qu’elle soutient pour remplacer les mots de passe statiques, mais était loin d’être explicite quant à sa forme finale préférée.
Cela dit, Visa a pris conscience de la réalité du commerce électronique, à savoir que l’authentification doit éviter autant que possible d’être invasive et interruptive. Il a concédé que l’effort de mot de passe d’aujourd’hui peut livrer des achats abandonnés, en disant: « Le processus d’inscription pour les mots de passe statiques spécifiques à Verified by Visa peut introduire des frictions et détourner les titulaires de carte du site Web du commerçant. »Il a également ajouté que les acheteurs oublient souvent les mots de passe et que les mots de passe « peuvent donner aux voleurs un moyen d’enregistrer un mot de passe au nom d’un titulaire de carte. »
Visa adopte maintenant les approches à forte intensité de données qui sont de plus en plus populaires aujourd’hui, où les sites exploitent les vastes océans de données que les consommateurs – en particulier ceux qui utilisent un appareil mobile — apportent lors de chaque voyage de magasinage. Cela, a déclaré Visa, « permettra également une expérience améliorée pour les consommateurs en fournissant aux émetteurs plus de données — des données qui peuvent être utilisées dans le processus de décision afin que les transactions légitimes ne soient pas refusées. donnera également aux commerçants la possibilité de mieux intégrer l’authentification dans leurs processus de paiement pour une expérience d’achat plus transparente pour les consommateurs. »
Tan de Sift Science convient qu’une approche basée sur les données est meilleure. De nombreuses méthodes d’authentification du commerce électronique d’aujourd’hui introduisent « beaucoup de frictions inutiles. La grande promesse du système d’apprentissage automatique est que nous pouvons mettre beaucoup de données au travail « , a-t-il déclaré.
» Ne demandez pas les informations d’identification à l’avance. Vérifiez tranquillement en arrière-plan « , a expliqué Tan, ajoutant que « mettre le fardeau sur le client » est une idée terrible lorsque l’analytique peut faire elle-même une évaluation beaucoup plus précise. Si le logiciel voit des points de données en conflit, les informations d’identification peuvent toujours être recherchées plus tard, mais uniquement dans les rares cas où cela est nécessaire.
Complexité de l’IoT
Visa a également abordé le mouvement de l’Internet des objets, faisant référence à « de nouveaux types d’appareils tels que les voitures connectées et les réfrigérateurs. »De telles transactions pousseront initialement la partie achat / offre des transactions vers un appareil mobile à proximité, où elle sera traitée comme toute autre transaction mobile.
CarPlay d’Apple, par exemple, intègre déjà un grand nombre de fonctions mobiles dans le tableau de bord d’une voiture. Une fois ce travail accompli, il sera beaucoup plus facile de permettre à ApplePay de payer les transactions, qu’il s’agisse d’acheter instantanément une chanson qui vient d’être jouée via Pandora ou Spotify, ou de payer de l’essence ou un repas à une halte.
Finalement, cependant, les appareils IoT arboreront des écrans juste assez grands pour effectuer leurs propres transactions. Allumez le thermostat plusieurs fois et une annonce peut apparaître pour des chandails ou un radiateur. Nulle part la facilité et la rapidité des transactions ne seront plus essentielles que de faire un achat dans un réfrigérateur, un thermostat ou une montre.
Les achats passent rapidement de l’achat en magasin à l’achat en ligne et, éventuellement, à l’IoT – et tout cela est largement alimenté par la rapidité et la commodité. Pourquoi un commerçant voudrait-il rendre l’interaction avec le client plus lente et ardue qu’elle ne doit absolument l’être?