Les professionnels de la sécurité du monde entier sont confrontés au même défi : fournir une sécurité robuste et une expérience utilisateur améliorée. Dans un paysage en constante évolution, il devient difficile de connaître toutes nos options. La solution apparemment insaisissable consiste à offrir à nos utilisateurs finaux une expérience transparente tout en les obligeant à effectuer une authentification multifacteur (MFA) puissante et résistante au phishing.
Bien que les options MFA traditionnelles, telles que les mots de passe à usage unique (OTP), représentent une amélioration par rapport à l’authentification par mot de passe uniquement, elles se sont avérées de plus en plus inadéquates dans le monde moderne. Il est désormais assez facile pour les acteurs malveillants d’intercepter les OTP envoyés par e-mail ou SMS.
Les jetons matériels, bien que sécurisés, ont un impact important sur l'expérience utilisateur et sont plus susceptibles d'être perdus ou endommagés. Ces inconvénients soulignent la nécessité d'une solution plus résiliente qui s'attaque à ces faiblesses.
Okta FastPass s'attaque de front à ces défis en utilisant une approche d'authentification multicouche via un flux unique qui offre :
- Facteur de possession
- Les demandes d'authentification FastPass utilisent un nonce signé pour vérifier de manière irréfutable la possession d'un appareil enregistré qui a été lié cryptographiquement au compte d'un utilisateur.
- Facteurs d'inhérence (ou de connaissance) au sein du même flux
- Inhérence : FastPass utilise les capacités biométriques intégrées d’un appareil, telles que la reconnaissance des empreintes digitales ou la reconnaissance faciale.
- Connaissance — Pour les appareils sans biométrie, FastPass conserve la possibilité de recourir à un facteur de connaissance sécurisé propre à l'appareil, comme un code PIN ou un mot de passe local.
Pourquoi FastPass est techniquement supérieur à la MFA traditionnelle
FastPass offre une alternative intéressante aux solutions MFA traditionnelles, car elle offre des avantages accrus en matière de sécurité et de conformité. L’un de ces avantages est une conception résistante au phishing qui exploite les mécanismes de nonce signés et la vérification de domaine pour garantir que, même si les informations d’identification d’un utilisateur restent sécurisées, même s’il est victime d’une attaque de phishing.
Le processus d'authentification à deux facteurs, qui nécessite la possession d'un authentificateur physique et d'un élément biométrique ou d'un secret lié, ajoute une couche supplémentaire d'assurance, aidant à atténuer le risque d'accès non autorisé. L'alignement de FastPass sur les exigences NIST SP800-63B AAL2 en fait un choix idéal pour les organisations qui s'alignent sur les normes de l'industrie et les meilleures pratiques. (Remarque : FastPass peut également être déployé pour attester au niveau AAL3, en fonction de la configuration de l'appareil. Contactez l'équipe TAM pour obtenir des conseils.)
En fin de compte, FastPass présente une solution d’authentification robuste et conviviale qui répond aux principales préoccupations des chefs d’entreprise, en offrant une sécurité, une conformité et une facilité d’utilisation améliorées.
Implémentation technique de FastPass
L’implémentation technique de FastPass est conçue dans un souci de sécurité et de flexibilité, offrant aux professionnels de l’identité une solution d’authentification robuste et personnalisable. Le processus d’enregistrement de l’appareil lie en toute sécurité l’appareil d’un utilisateur à son identité, établissant ainsi une base solide pour l’authentification ultérieure.
Le flux d'authentification est transparent et fluide, impliquant un échange sécurisé de nonces signés entre la plateforme Okta et l'application Okta Verify sur l'appareil de l'utilisateur. Cet échange garantit que l'utilisateur est en possession de l'appareil enregistré et que la demande d'authentification est légitime.
De plus, la configuration de politiques granulaires permet aux administrateurs d'adapter les politiques d'authentification aux besoins de sécurité spécifiques de leur organisation, en appliquant des exigences telles que l'authentification biométrique ou les versions minimales du système d'exploitation pour les appareils enregistrés. Cette combinaison de sécurité, de flexibilité et de facilité d'utilisation fait de FastPass un choix convaincant pour la gestion moderne des identités et des accès.
Avantages de FastPass en bref
Okta FastPass permet aux clients de résoudre la nature fastidieuse des méthodes MFA traditionnelles et offre une solide ligne de défense contre les attaques de phishing. C'est une méthode à deux facteurs car elle combine l'inhérence et la possession dans le même flux.
La transmission silencieuse d'un nonce signé fournit une confirmation de possession résistante au phishing et d'inhérence grâce à la vérification biométrique dans un flux d'authentification unique et convivial. Okta FastPass est une solution d'authentification à deux facteurs robuste et évolutive.
Voici quelques conseils sur la façon d'implémenter FastPass dès aujourd'hui
- Activer et configurer : activez FastPass dans votre console d'administration Okta et configurez les paramètres tels que les options de vérification de l'utilisateur (biométrie ou code d'accès de l'appareil).
- Inscrire des utilisateurs : Guidez les utilisateurs tout au long du processus d'inscription, en vous assurant qu'ils ont l'application Okta Verify installée et configurée sur leurs appareils.
- Enregistrement sécurisé de l’appareil : Lancez le processus d’enregistrement sécurisé de l’appareil, en créant une liaison cryptographique pour l’appareil de chaque utilisateur.
- Personnaliser la configuration des stratégies : Adaptez FastPass aux besoins spécifiques de votre organisation en configurant des stratégies granulaires pour des facteurs tels que les données biométriques et les versions minimales du système d'exploitation.
- Donner la priorité à la résistance au phishing : Tirez parti du mécanisme de nonce signé de FastPass et de la vérification de domaine pour vous protéger contre le phishing et les attaques de fatigue.
- Garantir une forte assurance : Mettez en œuvre l'authentification à deux facteurs avec FastPass, combinant la possession d'un appareil physique avec une donnée biométrique ou un secret pour une vérification robuste de l'utilisateur.
- Profitez d'une authentification fluide : Familiarisez-vous, ainsi que vos utilisateurs, avec le flux d'authentification simplifié, qui vérifie silencieusement la possession et l'authenticité de la requête par l'utilisateur.
- S'aligner sur les meilleures pratiques : Si la conformité à la norme NIST SP800-63B est une priorité, vous pouvez être assuré que l'alignement AAL2 de FastPass satisfait à ces exigences.
Le présent document et toute recommandation qu’il propose ne constituent pas des conseils juridiques, commerciaux, ou encore de confidentialité, sécurité et conformité. Le contenu de ce document revêt un caractère purement informatif et pourrait ne pas refléter les normes de sécurité, de confidentialité et les réglementations les plus récentes, ou tous les problèmes pertinents. Pour obtenir de tels conseils, il vous revient de vous adresser à votre conseiller juridique ou à tout autre conseiller professionnel en matière de sécurité, confidentialité ou conformité, et de ne pas vous en remettre aux recommandations formulées dans le présent document. Okta ne formule aucune déclaration, garantie ou autre assurance concernant le contenu de cet article. Pour en savoir plus sur les assurances contractuelles d’Okta à ses clients, rendez-vous à cette adresse okta.com/agreements.
