Une solution robuste de gestion des accès doit être fondée sur une base d'authentification multifacteur solide qui inclut plusieurs facteurs de sécurité se renforçant mutuellement pour garantir un niveau élevé d'assurance de sécurité. Des fournisseurs de cyberassurance aux organismes de normalisation tels que le NIST, les experts en sécurité recommandent de mettre en œuvre l'authentification multifacteur (MFA) partout où cela est possible. Et, lorsque l'on considère les facteurs à mettre en œuvre, la biométrie se distingue comme une méthode très efficace pour vérifier l'identité d'un utilisateur, offrant une barrière considérablement plus élevée contre le vol et l'usurpation d'identité par rapport aux facteurs de connaissance.
Combinez la biométrie avec Okta FastPass, un authentificateur Zero Trust résistant au phishing qui protège longtemps après la demande d'accès initiale, et vous aurez la recette pour la façon la plus sûre de s'authentifier et de contrecarrer les attaques basées sur l'identité.
Cependant, bien que l'authentification biométrique offre la meilleure forme de vérification de l'utilisateur en exploitant des traits humains intrinsèquement uniques, certaines préoccupations peuvent empêcher une entreprise de l'adopter. L'implémentation efficace de la biométrie repose sur la possession des logiciels et du matériel appropriés, ce qui représente un obstacle financier, en particulier pour les petites entreprises. Selon l'utilisateur final, il peut y avoir des préoccupations concernant la vie privée individuelle (nous y reviendrons plus tard) et des craintes quant aux données qu'une entreprise capture et à la manière dont elle les utilisera. Les réglementations régionales peuvent également avoir leur mot à dire sur la manière dont les données à caractère personnel peuvent être partagées et stockées. Enfin, il existe également des problèmes d'accessibilité. La technologie informatique s'est considérablement améliorée pour les utilisateurs handicapés, mais le problème demeure que la conception de l'authentification biométrique ne tient pas pleinement compte des utilisateurs qui ne peuvent pas fournir de reconnaissance d'empreinte digitale ou de visage.
Chez Okta, nous nous efforçons de fournir les méthodes de connexion les plus sécurisées pour tous les utilisateurs. C'est pourquoi nous avons permis aux organisations d'exploiter FastPass avec la biométrie ou un code d'accès lié au terminal pour renforcer l'authentification sécurisée dans les scénarios à haut risque.
Appliquer la vérification de l'utilisateur avec la biométrie ou des codes d'accès liés au terminal
FastPass est un authentificateur sans mot de passe résistant au phishing intégré à l'application Okta Verify qui contribue à atténuer l'impact des attaques de phishing, du vol de session et de l'activité locale non autorisée. Conçu pour une défense en profondeur, FastPass évalue le contexte du terminal chaque fois que l'utilisateur ouvre une de ses ressources protégées et offre une expérience conviviale et cohérente sur toutes les principales plateformes et tous les principaux terminaux, gérés ou non gérés. FastPass offre le moyen le plus sûr de s'authentifier, en partie grâce à l'intégration de la biométrie du terminal pour un niveau d'assurance de sécurité plus élevé avec preuve de possession et d'inhérence. Mais désormais, les utilisateurs dont les terminaux ne prennent pas en charge la biométrie ou qui ne peuvent pas ou préfèrent ne pas utiliser la biométrie peuvent fournir un code secret avec FastPass pour effectuer l'authentification multifacteur résistante au phishing.
Configurer la vérification de l'utilisateur lors de l'intégration de FastPass
Le processus d'inscription d'Okta Verify prend désormais en charge la vérification de l'utilisateur avec un code secret en plus de la biométrie. Lorsque les utilisateurs finaux activent cette fonctionnalité, ils seront invités à confirmer leur code secret (c'est-à-dire, généralement leur mot de passe de connexion à le terminal ou le code PIN Windows Hello, le cas échéant). Cette amélioration élargit l'accessibilité, permettant à tous les utilisateurs de s'authentifier avec Okta Verify et FastPass, quelles que soient les capacités du terminal, les contraintes personnelles ou les exigences de conformité. Cette amélioration est actuellement disponible en Early Access (EA). Lisez la documentation du produit pour en savoir plus.
Exiger la vérification de l'utilisateur pour l'authentification à une application avec FastPass
Désormais, lorsque vous modifiez ou créez une nouvelle règle de politique d'authentification, vous pouvez exiger que les utilisateurs finaux prouvent leur présence physique pour s'authentifier avec FastPass. L'utilisateur final peut répondre à cette exigence via son code secret système ou sa biométrie pour vérifier son identité. Cette amélioration est actuellement en disponibilité générale. Lisez la documentation du produit pour en savoir plus.
En quoi un code d'accès lié au terminal est-il plus sûr qu'un mot de passe ?
Comprendre la distinction entre un code d'accès terminal et un mot de passe Okta est essentiel pour apprécier leurs différentes implications en matière de sécurité. Lorsque FastPass est enrôlé sur un terminal, il exploite une clé unique liée au terminal, généralement stockée dans un composant tel qu'un TPM ou Secure Enclave lorsque disponible. L'accès à cette clé, et par conséquent l'authentification aux applications ou services en ligne, est protégé soit par biométrie, soit par une méthode d'authentification locale telle qu'un code d'accès lié au terminal. Cette configuration garantit que le processus d'authentification est signé avec une clé exclusive à ce terminal spécifique, améliorant ainsi la sécurité. En revanche, votre mot de passe Okta, une phrase ou un code d'accès stocké sur les serveurs d'Okta, est conçu pour accorder l'accès depuis n'importe quel terminal connecté à Internet. La différence essentielle réside dans le modèle de sécurité : alors qu'un mot de passe Okta pourrait potentiellement être utilisé depuis n'importe quel terminal en cas de compromission, la clé liée au terminal reste sécurisée et exclusive au terminal enrôlé. Cela signifie que même si un attaquant apprend le code d'accès lié au terminal, la clé qu'il déverrouille n'est toujours utilisable que sur ce terminal. Cela atténue les potentielles attaques de phishing, qui pourraient utiliser un code d'accès compromis.
Ne vous inquiétez pas, Okta ne peut pas voir vos données biométriques
Les réglementations relatives à la confidentialité des données et à la sécurité des données évoluent depuis des années afin de protéger les individus contre les excès de la technologie, et elles affectent considérablement les pratiques des organisations en matière de données. Par exemple, la Illinois Biometric Information Privacy Act (BIPA), promulguée en 2008, contient des directives claires sur le traitement des données biométriques, ce qui a entraîné de nombreuses affaires ayant un impact sur les finances et la réputation de diverses entreprises.
Chez Okta, nos produits ne traitent ni ne stockent d'informations biométriques. Bien qu'Okta Verify et FastPass exploitent la biométrie – telle que fournie par les authentificateurs biométriques intégrés aux ordinateurs portables et aux smartphones – pour l'authentification à deux facteurs (2FA), Okta n'a connaissance que de l'échange de clés cryptographiques de vérification de l'utilisateur qui indique une authentification biométrique réussie et ne peut pas accéder aux données biométriques. En d'autres termes, si une personne utilise des informations biométriques pour s'authentifier sur l'application Okta Verify, Okta ne reçoit pas les données biométriques. Au lieu de cela, nous recevons un avis de défailllance ou de succès de l'authentification du système d'exploitation du terminal local. Les données biométriques sont contrôlées sur le terminal, et le fait que le terminal stocke ou non les informations biométriques réelles dépend du fournisseur du terminal. Que vous ayez un terminal Apple, un téléphone de Google, ou un autre ordinateur, vous pouvez en savoir plus sur leurs politiques de confidentialité des données pour savoir comment ils traitent les données biométriques.
Comme toujours, l'utilisation de la biométrie est un choix. Un administrateur ou un utilisateur peut activer ou désactiver la technologie biométrique à tout moment via les paramètres du terminal. Et maintenant, avec l'option de vérification de l'utilisateur avec un code d'accès, vous pouvez toujours appliquer l'authentification multifacteur avec FastPass sans biométrie.
Quoi d'autre de nouveau avec FastPass ?
Chez Okta, nous voulons nous assurer que l'ensemble de votre personnel peut facilement accéder à ses applications avec FastPass, l'authentificateur le plus sûr du marché. Cela signifie aller au-delà de l'authentification résistante au phishing pour offrir des processus de récupération et d'onboarding FastPass résistants au phishing pour une gestion sécurisée de bout en bout des authentificateurs. À cette fin, Okta a récemment offert une flexibilité supplémentaire aux administrateurs pour imposer l'utilisation de méthodes de sécurité plus élevées par les utilisateurs finaux pour l'inscription à Okta Verify, qui est généralement disponible aujourd'hui dans Paramètres de l'authentificateur.
De plus, le support de Windows Okta Verify et FastPass pour les environnements d'infrastructure de bureau virtuel (VDI) est désormais généralement disponible dans Windows Okta Verify 4.9. Les environnements pris en charge incluent Windows 365, Citrix et AWS WorkSpaces. Les administrateurs peuvent configurer Windows Okta Verify pour qu'il s'exécute dans des environnements virtuels en définissant l'indicateur AuthenticatorOperationMode (voir les instructions sur la façon de configurer Windows Okta Verify). Pour l'authentification 2FA, les administrateurs peuvent également configurer Okta Verify pour inviter les utilisateurs à créer un code secret qui protégera et permettra l'accès à une clé de vérification d'utilisateur liée au terminal. Cette capacité permet aux organisations d'utiliser FastPass et les contrôles de posture du terminal pour sécuriser les flux d'authentification dans les environnements Windows virtuels. Pour les utilisateurs finaux, cela signifie un accès sécurisé et intuitif, résistant au phishing, aux ressources depuis leurs bureaux virtuels.
Nous sommes ravis de continuer à innover et à améliorer la flexibilité et la visibilité des produits pour aider les organisations à adopter avec confiance des options d'assurance de sécurité plus élevées. Restez à l'écoute pour plus de mises à jour FastPass !
Vous avez des questions sur FastPass ou la sécurité des terminaux ? Rejoignez le forum de discussion communautaire.
