Double authentification : Un niveau de sécurité supplémentaire nécessaire

La double authentification, également appelée authentification à deux facteurs ou 2FA, peut améliorer la sécurité en ligne en exigeant plus qu'un simple mot de passe pour obtenir l'accès. 

La cybersécurité est de plus en plus importante à mesure que nos vies se déplacent vers le monde numérique. Les données et informations sensibles peuvent facilement devenir la proie de cybercriminels malveillants et d'acteurs malveillants. 

La double authentification nécessite l'utilisation d'une méthode d'authentification supplémentaire avec votre connexion identifiants, généralement un facteur biométrique ou une sécurité token. Cette couche supplémentaire de sécurité peut rendre plus difficile l'accès à votre compte et à vos informations par des utilisateurs non autorisés. 

L'authentification à deux facteurs permet de mieux contrôler l'accès aux systèmes sensibles et aux données confidentielles.

Qu'est-ce que la double authentification ?

En bref, la double authentification utilise deux formulaires de méthodes d'authentification pour vérifier l'identité. En plus de 2FA et de l'authentification à deux facteurs, on parle aussi parfois de vérification en deux étapes et d'authentification à deux facteurs. 

Il s'agit d'une authentification renforcée par rapport à l'authentification à un seul facteur (SFA), qui permet d'accéder à un système ou à un compte à l'aide d'une simple connexion et d'un mot de passe. Les identifiants de connexion peuvent faire l'objet d'une violation, d'un piratage ou d'un vol. Par conséquent, les méthodes d' authentification multif acteur qui requièrent plus d'un formulaire d'autorisation sont plus sûres.

La double authentification nécessite l'utilisation de deux des trois facteurs reconnus pour la vérification de l'identité :

• Quelque chose que vous connaissez, généralement un mot de passe ou un code PIN
• Quelque chose que vous possédez, comme un téléphone portable, une carte de crédit ou du matériel informatique token
• Quelque chose que vous êtes, comme un marqueur biométrique tel qu'une empreinte digitale ou un balayage facial.

Les méthodes de double authentification utilisent deux de ces facteurs d'authentification pour accéder à un système ou à un service. 

Comment fonctionne la double authentification ?

Pour utiliser la double authentification, un utilisateur doit fournir deux facteurs d'autorisation, chacun d'eux devant appartenir à une catégorie différente. 

Par exemple, un mot de passe et une réponse à une question secrète sont tous deux considérés comme une base de connaissance facteur d'authentification et ne sont donc pas considérés comme des méthodes d'authentification à deux facteurs. Au lieu de cela, vous devrez fournir un mot de passe, puis un deuxième facteur, comme une empreinte digitale, pour obtenir l'accès et vérifier votre identité.

Chaque fournisseur ou application peut avoir une méthode différente pour activer l'authentification à deux facteurs, mais le processus général en plusieurs étapes se présente comme suit :

1. L'application ou le site web invite l'utilisateur à saisir ses identifiants de connexion.
2. L'utilisateur saisit des informations sur la base de connaissance, qui sont généralement un nom d'utilisateur et un mot de passe.
3. Si un mot de passe n'est pas requis, le site web utilise souvent une clé de sécurité unique qui est validée et authentifiée par le serveur du site web.
4. Le site web ou l'application demande alors le deuxième formulaire d'authentification lors d'une deuxième étape de connexion.
5. L'utilisateur fournira un objet qu'il a ou qu'il possède, qui peut être un scanner de reconnaissance faciale, un scanner d'empreintes digitales, une carte d'identité, une carte de sécurité token, ou un smartphone.
6. L'utilisateur peut être invité à entrer un code à usage unique, généré à l'étape précédente, dans le terminal qu'il a choisi.
7. Les deux facteurs d'authentification sont vérifiés et l'accès est accordé.

Un utilisateur devra être en mesure de fournir les deux formulaires d'authentification pour accéder au service ou au produit, de sorte que même si l'un d'entre eux est compromis, l'accès reste sécurisé.

Le problème avec tbd

tbd sont les formulaires de sécurité les moins sûrs qui soient, et ce pour diverses raisons. Les cybercriminels étant plus avancés et les méthodes de piratage évoluant, il est nécessaire de sécuriser davantage les systèmes et les comptes. 

Selon le FBI, l'un des formulaires de cybercriminalité les plus courants en 2020 est l'attaque phishing. Une escroquerie de type phishing permet d'accéder aux identifiants de connexion d'un utilisateur, y compris tbd, et donc d'accéder aux données et informations à privilèges.

tbd sont des formulaires faibles d'authentification de l'utilisateur pour les raisons suivantes :

• La nature humaine : Il a été prouvé que les tbd simples et faciles à mémoriser sont également faciles à deviner et donc à voler, mais l'utilisateur humain continue à s'en tenir à ce qu'il peut mémoriser. sont souvent trop simples ou placés dans des endroits faciles à trouver - faciles pour l'utilisateur, mais aussi faciles pour un utilisateur potentiel non autorisé.  
• Usage général : Souvent, dans le but de faciliter les choses, un utilisateur utilisera le même mot de passe ou la même combinaison de mots de passe sur une variété de plateformes et de comptes. Il est donc facile pour un pirate informatique d'accéder à une grande partie de l'empreinte numérique d'un utilisateur en volant un seul mot de passe.  
• Ils ne sont pas modifiés assez souvent : Pour plus de sécurité, il convient de changer régulièrement les DTB afin d'éviter qu'ils ne soient violés ou piratés. Cependant, la plupart du temps, l'utilisateur n'entreprend pas cette démarche.  
• manque de rigueur en matière de mots de passe : les utilisateurs partent souvent d'une bonne intention en utilisant des mots de passe sécurisés et souvent modifiés, mais il peut être difficile de suivre les nombreuses modifications du mot de passe. Un utilisateur reviendra souvent à un mot de passe faible.  
• Stockage non sécurisé : le tbd peut être stocké dans des emplacements numériques ou physiques qui ne sont pas sécurisés. Par conséquent, même si le mot de passe est fort, il est également vulnérable au vol.

La FTC (Federal Trade Commission) a reçu plus de 2 millions de signalements de fraudes en 2020, pour des pertes avoisinant les 3,5 milliards de dollars. 

L'erreur humaine est l'une des causes les plus courantes de la fraude sur Internet et de la cybercriminalité, car elle permet aux criminels d'accéder à des informations sensibles et confidentielles. Les tbd sont l'une des choses les plus faciles à voler, à imiter, à deviner ou à bricher pour un acteur malveillant. C'est pourquoi ils ne doivent pas être utilisés comme méthode principale ou unique de protection des données sur l'internet.

Types de produits à double authentification

Il existe deux catégories principales de produits d'authentification à double facteur : le jeton que l'utilisateur reçoit lorsqu'il se connecte, et le logiciel ou l'infrastructure qui reconnaît et authentifie l'utilisateur sur la base de l'utilisation correcte du site token. 

Il existe de nombreux types de services et de terminaux qui peuvent mettre en œuvre l'authentification à deux facteurs. L'authentification token peut être embarquée dans un logiciel ou une application, ou peut être un petit matériel physique.

Voici quelques exemples courants de produits à double authentification :

• Jeton matériel : Il s'agit généralement d'un porte-clés, d'une carte d'identité ou d'un petit terminal USB. Le processus de double authentification permet soit de lire le code directement sur le terminal, soit à l'utilisateur d'entrer le code unique sur le site token.  
• Jeton logiciel : Il utilise un mot de passe à usage unique (OTP) généré par un logiciel et basé sur le temps (TOTP), et est souvent appelé token logiciel. Avec un jeton logiciel, l'utilisateur doit généralement télécharger et installer une application requise pour ce formulaire d'authentification. Après la connexion initiale, un code est généré et affiché sur l'application sur le même terminal, ce qui renforce la sécurité.  
• Basé sur les SMS : Avec ce formulaire de 2FA, après que l'utilisateur a saisi un nom d'utilisateur et un mot de passe, l'application ou le site web envoie un mot de passe à usage unique sur le téléphone de l'utilisateur par le biais d'un message texte. L'utilisateur est alors invité à saisir le code pour obtenir l'accès. Le 2FA vocal utilise des technologies similaires, mais le service informatique envoie un code verbal au lieu d'un message texte.  
• notification push : Un formulaire plus avancé de double authentification permet aux sites web et aux applications d'envoyer des notifications directes à l'utilisateur qui tente d'accéder au site. Dès réception, le propriétaire du terminal peut approuver ou refuser l'accès d'un simple toucher, au lieu d'avoir à réintroduire un code complet dans le système.  

Cela ne s'applique qu'aux terminaux connectés à l'internet et capables de télécharger des applications. Ils sont conviviaux et hautement sécurisés.  

• biométrie : l'utilisation d'informations biologiques et personnelles, telles que les empreintes digitales, les scanners rétiniens et la reconnaissance faciale, peut servir de formulaire d'authentification à deux facteurs. L'utilisateur scanne son empreinte digitale sur un lecteur d'empreintes digitales intégré ou utilise l'appareil photo du terminal pour obtenir une autorisation.

Qui utilise la double authentification ?

De nombreux sites web et applications, ainsi que des entreprises et des organisations, s'appuient sur l'authentification à deux facteurs pour sécuriser les systèmes et les services. 

Souvent, l'utilisateur doit activer ou configurer la fonction 2FA pour utiliser la technologie de l'information. La plupart des fournisseurs de services en ligne, de nombreux sites web et applications offrent tous la possibilité d'une double authentification. 

Ce sont des exemples de grandes entreprises qui utilisent l'authentification à deux facteurs :

• Amazon
• Apple
• facebook
• Dropbox
• Dashlane
• Google
• Instagram
• Microsoft
• Banque d'Amérique
• GitHub
• Département de la défense des États-Unis (DoD)
• PayPal

Les entreprises et les organisations exigent souvent une authentification à deux facteurs pour accéder aux plateformes et aux bases de données sécurisées. Ils peuvent nécessiter l'utilisation d'un matériel token ou d'une biométrie en plus des identifiants de connexion. 

Les plateformes en ligne, y compris les applications et les sites web, mettent souvent en œuvre un double facteur d'authentification pour une sécurité accrue.

Double authentification & plateformes mobiles

Le monde devient de plus en plus numérique. Par conséquent, une grande partie du processus de vérification de l'authentification est effectuée sur des plateformes mobiles. 

La double authentification utilise souvent un smartphone, par exemple, qui contient souvent des capacités biométriques, pour l'authentification à deux facteurs. Un smartphone peut généralement lire les empreintes digitales, prendre des photos et scanner votre visage pour la reconnaissance faciale.

Les téléphones peuvent envoyer et recevoir des messages textuels, et ils peuvent être utilisés pour la double authentification par SMS ainsi que pour le facteur d'authentification vocale. Les smartphones surveillent souvent la position GPS, qui peut être utilisée pour vérifier l'identité d'un utilisateur et mettre en œuvre le 2FA sur la base d'informations relatives à l'utilisateur. Le terminal mobile peut également envoyer et recevoir des notifications push qu'un utilisateur peut recevoir en déplacement.

L'authentification à l'avenir

La cybersécurité devenant de plus en plus importante et pertinente, les méthodes d'authentification et de vérification de l'identité sont encore plus vitales. 

L'utilisation de tbd est l'un des facteurs d'authentification les plus courants encore aujourd'hui, mais c'est aussi le moins sûr. Les entreprises et les services s'orientent vers des modèles d'authentification à deux facteurs au moins. Beaucoup commencent au moins à envisager l'authentification multifacteur, qui peut nécessiter les trois types d'authentification.

Cela peut signifier qu'en plus d'un mot de passe et d'un nom d'utilisateur, un utilisateur sera également invité à utiliser une adresse physique token ET un marqueur biométrique. L'authentification biométrique s'étend également à l'utilisation d'identifiants biométriques, qui peuvent lire la vitesse de frappe et la manière dont un utilisateur manipule le terminal, l'écran tactile ou la souris, y compris la longueur de la frappe et le modèle de navigation sur le site web. 

Les êtres humains sont par nature des créatures d'habitudes, et les identifiants biométriques peuvent aider à déterminer si un utilisateur est bien celui qu'il prétend être. Les facteurs tels que le type de terminal, l'heure d'accès aux services et la géolocalisation peuvent également être utilisés comme facteurs d'authentification.

Organizations étudient également les possibilités d'authentification sans mot de passe qui peuvent contribuer à maintenir la sécurité du site IT tout en évitant à l'utilisateur de saisir un mot de passe non sécurisé. La blockchain, les principes de sécurité "Zero Trust", l'identité décentralisée et l'identité auto-souveraine sont autant d'options à prendre en considération qui ne nécessitent pas de tbd tout en conservant le contrôle du processus de connexion au sein d'une organisation.

Ressources supplémentaires

Sur une plateforme mobile, la double authentification nécessite souvent l'utilisation d'une application authentificateur. Ces applications sont gratuites et téléchargées sur un terminal connecté à Internet. 

Lorsqu'il est demandé d'entrer un token logiciel, l'application authentificateur génère le code ou la notification push. Voici quelques exemples :

• Google Authenticator
• Microsoft authentificateur
• Battle.net authentificateur de B lizzard
• OneAuthde Zoho
• LastPass authentificateur

L'authentification à double facteur offre une sécurité supplémentaire et un niveau de confiance plus élevé en matière de confidentialité et de respect de la vie privée. Bien que l'utilisation d'au moins deux formulaires d'authentification implique une étape supplémentaire, les processus évoluent vers des expériences encore plus fluides et plus conviviales grâce aux plateformes mobiles.

Références

Le FBI publie le rapport sur la criminalité sur Internet 2020 de l'Internet Crime Complaint Center, y compris les statistiques sur l'escroquerie COVID-19. (mars 2021). Bureau fédéral d'enquête (FBI).

De nouvelles données montrent que la FTC a reçu 2,2 millions de rapports de fraude de la part des consommateurs en 2020. (Février 2021). Commission fédérale du commerce (FTC).

Qu'est-ce que la vérification en deux étapes ? (2022). Amazon.com, Inc.

Authentification à deux facteurs pour Apple ID. (2022). Apple, Inc.

Qu'est-ce que l'authentification à deux facteurs et comment fonctionne-t-elle sur Facebook ? (2022). Méta.

Comment activer la vérification en deux étapes. Dropbox.

Protégez votre compte en utilisant l'authentification à deux facteurs. (2021), Dashlane, Inc.

Vérification en deux étapes de Google. Google.

Qu'est-ce que l'authentification à deux facteurs et comment fonctionne-t-elle sur Instagram ? (2022). Méta.

Comment utiliser la vérification en deux étapes avec votre compte Microsoft. (2022). Microsoft.

Banque en ligne Security Center. (2021), Bank of America Corporation.

Sécuriser votre compte avec l'authentification à deux facteurs (2FA). (2022). GitHub, Inc.

Accès sécurisé non-CAC avec authentification multifacteur (authentification multifacteur). (juin 2021). Activité d'éducation du département de la défense (DODEA).

Comment activer ou désactiver la vérification en deux étapes pour la connexion au compte PayPal ? (2022). PayPal.

Google Authenticator. (2022). Google.

Microsoft authentificateur. (2022). Microsoft.

Battle.net authentificateur. (2022). Blizzard Entertainment, Inc.

Sécurisez votre compte en ligne avec Zoho OneAuth. (2022). Zoho Corporation. 

La seule application authentificateur dont vous avez besoin. LastPass.