Cet article a été traduit automatiquement.
Les applications de toutes sortes - que vous les utilisiez dans le cadre de votre travail ou d'autres activités quotidiennes - permettent à l'utilisateur d'accéder à un service par le biais de l'authentification. En fonction de la sensibilité des informations filtrées par l'application, différents types de méthodes d'authentification sont nécessaires, chacun correspondant à différents niveaux de risque.
À l'ère des brèches de données toujours plus nombreuses, les identifiants de type nom d'utilisateur et mot de passe ne suffisent plus à authentifier l'accès. Les organisations devraient plutôt regrouper plusieurs facteurs d'authentification, tout en sachant que chaque facteur a ses propres forces et faiblesses.
Types de facteurs d'authentification
Chaque type d'authentification est appelé facteur. Ils sont utilisés pour vérifier l'identité d'un utilisateur et bloquer l'accès à toute personne qui n'est pas celle qu'il prétend être. Ces facteurs sont répartis en trois groupes, allant de ceux qui ont le niveau d'assurance le plus faible à ceux qui ont le niveau d'assurance le plus élevé.
Facteur de connaissance: Il s'agit d'éléments que l'utilisateur connaît, tels que tbd ou les réponses aux questions de sécurité.
Possession facteur: Il s'agit des éléments que l'utilisateur a en sa possession ou sur lesquels il peut agir. Il s'agit notamment des codes SMS envoyés au terminal mobile, des mots de passe à usage unique (OTP) envoyés par courrier électronique et des notifications push.
Facteur biométrique: Ce sont des choses que l'utilisateur est. La biométrie comprend la numérisation des empreintes digitales ou l'authentification faciale.
Bien que ces facteurs puissent sembler suffisamment sûrs en eux-mêmes, il existe des considérations de sécurité qu'il convient de comprendre avant de décider lequel utiliser pour sécuriser les ressources et les données de votre organisation.
Authentification sécurisée Across facteur
Lors de la mise en œuvre d'un outil de vérification de l'identité de l'utilisateur, il est important de comprendre que certains facteurs d'authentification sont plus forts que d'autres, et que ceux que vous pensez être les plus sûrs peuvent en fait être faciles à compromettre. Les questions de sécurité, par exemple, sont utilisées dans des applications allant du courrier électronique au portail gouvernemental en ligne. Une vaste étude sur la récupération de comptes chez Google a montré que les réponses aux questions de sécurité sont à la fois faciles à deviner pour les attaquants et difficiles à mémoriser pour les utilisateurs.
L'envoi d'un code SMS est un autre facteur qui n'est pas aussi sûr qu'il n'y paraît. En fait, l'Institut national des normes et technologies ne recommande plus les codes SMS comme outil d'authentification car les pirates peuvent très facilement intercepter un message destiné au téléphone de quelqu'un d'autre. Les clés USB physiques ou les terminaux mobiles avec une application d'authentification peuvent être perdus ou volés, et une fois qu'un attaquant a accès à un facteur de possession, la vérification de l'identité des ressources est compromise. Bien qu'ils soient considérés comme les plus puissants, les facteurs biométriques tels que les empreintes digitales et la vérification faciale présentent également des faiblesses. Nous avons tous vu l'astuce consistant à relever des empreintes digitales à l'aide d'un morceau de ruban adhésif, et d'autres éléments de la biométrie peuvent également être reproduits afin de tromper les applications chargées de vérifier l'identité d'un utilisateur.
Adaptive Multi-Factor Authentication (MFA)
Pour déployer une méthode d'authentification sécurisée, il faut notamment comprendre les risques posés par chaque facteur et les combiner efficacement pour les atténuer. Une approche adaptative qui évalue les différentes circonstances telles que le réseau, la géographie, la zone IP et autres peut aider à aligner les facteurs d'authentification potentiels sur le niveau de risque.
Par exemple, si la base de données interne de votre organisation reçoit une demande d'authentification d'un utilisateur qui se trouve sur votre réseau et dans la ville et le code postal de votre organisation, un mot de passe et un facteur d'authentification de niveau moyen à élevé, comme une clé physique ou un facteur biométrique, sont probablement tout ce dont vous avez besoin pour vérifier l'identité de cet utilisateur. Toutefois, si la demande provient d'un réseau inconnu ou d'une ville nouvelle pour l'utilisateur, vous pouvez envisager d'ajouter une demande de push mobile pour aider à prouver son identité.
Même s'ils se situent à des points différents de l'échelle d'assurance, tous les facteurs d'authentification présentent des faiblesses. Organizations qui cherchent à mieux sécuriser leurs données - et celles de leur personnel et de leurs clients - doivent mettre en œuvre une approche Adaptive MFA qui évalue le risque de chaque demande de connexion unique et sélectionne le facteur d'authentification en conséquence.
