World Password Day 2024 : à la recherche de solutions sans mot de passe
Environ la moitié (49 %) des violations de la protection des données signalées l'année dernière (dont 86 % de toutes les violations de la protection des données au sein d'applications web) ont utilisé des informations d'identification volées, telles que des noms d'utilisateur et des mots de passe. En Allemagne, rien qu'au premier trimestre 2024, environ 3,2 millions de comptes d'utilisateurs ont été piratés avec succès. En Suisse, ce chiffre s'élevait à près de 210.000. L'authentification sécurisée semble donc toujours représenter un défi pour beaucoup.
Bien que nous sachions que les mots de passe peuvent être craqués, divulgués ou volés, puis utilisés contre nous, de nombreuses personnes et entreprises continuent à s'appuyer sur eux. Il y a plusieurs raisons à cela. Il est essentiel de les comprendre pour renforcer nos mots de passe ou nous en défaire au profit de solutions d'authentification plus efficaces. Les mots de passe sont tout simplement pratiques : tant les utilisateurs que les administrateurs informatiques connaissent leur fonctionnement, ils sont faciles à mettre en œuvre et ne nécessitent qu'un investissement minimal et une infrastructure existante. Ils ne nécessitent aucun matériel supplémentaire et presque tous les appareils et applications prennent en charge l'authentification par mot de passe.
Moins de dépendance aux mots de passe
Ceux qui envisagent des alternatives aux mots de passe doivent évaluer les aspects de la sécurité, de la facilité d'utilisation et de l'évolutivité afin de garantir une expérience utilisateur à la fois transparente et sécurisée. Une trop grande complexité dans les processus d'authentification ne fait que pousser les utilisateurs à trouver des moyens de les contourner. Les entreprises qui souhaitent s'affranchir des mots de passe sans surcharger leurs utilisateurs ont notamment le choix entre :
Authentification à deux facteurs ou multi-facteurs (2FA ou MFA) :
Ces méthodes sont devenues la norme pour de nombreuses applications. Avec la 2FA, les utilisateurs doivent présenter deux facteurs d'identification avant de pouvoir accéder à l'appareil ou à l'application. En général, ces facteurs comprennent quelque chose qu'ils connaissent (par exemple, un mot de passe) et quelque chose qu'ils possèdent (par exemple, un code qu'ils peuvent partager via un terminal mobile). Le temps supplémentaire nécessaire et la complexité sont relativement faibles. L'AMF ajoute des niveaux d'authentification supplémentaires, par exemple quelque chose qui est propre à l'utilisateur (authentification biométrique) ou quelque chose qu'il exécute (authentification biométrique comportementale). Toutefois, ces dernières années, les pirates ont de plus en plus appris à contourner la 2FA et la MFA par hameçonnage ciblé ou en profitant de la "fatigue MFA", en inondant les utilisateurs de fausses notifications de connexion jusqu'à ce qu'ils en approuvent une.
L'authentification unique (SSO) :
La SSO permet aux utilisateurs d'accéder à différents appareils ou applications avec un seul ensemble d'informations de connexion. Cela permet de réduire le besoin de mots de passe et d'améliorer l'expérience utilisateur. Pour les connexions internes à l'entreprise ou à l'organisation, par exemple, cette approche est très efficace, mais sa mise en œuvre et sa configuration prennent souvent beaucoup de temps. La SSO peut en outre s'avérer risquée lorsqu'elle est étendue aux connexions sur Internet et que l'accès se fait via les identifiants de connexion de services et de sites populaires tels que Google, Facebook, Yahoo, Apple ou Microsoft. L'inscription elle-même devient alors certes simple. Toutefois, si un compte chez l'un de ces fournisseurs est compromis, l'attaquant peut accéder à tout autre compte pour lequel le SSO est utilisé. De plus, des données sont souvent échangées entre les différents fournisseurs, ce dont de nombreux utilisateurs ne sont pas conscients, mais qui n'est pas non plus souhaitable.
Authentification biométrique :
Il s'agit de méthodes telles que la reconnaissance des empreintes digitales, la reconnaissance faciale, le scan de l'iris et la reconnaissance vocale. La biométrie comportementale, quant à elle, s'appuie sur la reconnaissance des comportements de frappe ou d'utilisation des appareils. Les méthodes d'authentification biométriques offrent un niveau de sécurité élevé tout en étant faciles à utiliser, car les utilisateurs n'ont pas besoin de se souvenir de mots de passe ou de réponses à des questions de sécurité. En outre, de nombreux utilisateurs sont déjà familiarisés avec ces méthodes, car de nombreux appareils destinés aux utilisateurs finaux disposent déjà de la possibilité d'authentification biométrique, ce qui peut faciliter et accélérer le déploiement et l'adoption de ces méthodes à l'échelle de l'entreprise. Cependant, tous les appareils ne sont pas adaptés à l'authentification biométrique et la mise en œuvre de la technologie nécessaire peut être très coûteuse. En outre, les utilisateurs doivent être d'accord pour utiliser leurs données biométriques dans un contexte professionnel.
jetons de matériel :
Ces dispositifs physiques génèrent des codes ou des clés cryptographiques d'authentification uniques, souvent temporaires, qui constituent un niveau de sécurité supplémentaire pour la connexion. Un attaquant aurait besoin d'un accès physique au jeton et devrait en outre connaître les données de connexion de l'utilisateur pour accéder à son compte. L'inconvénient : un mot de passe oublié peut être facilement réinitialisé, mais un token matériel perdu doit être remplacé. Dans l'intervalle, il faut en outre mettre en place un processus de sauvegarde alternatif pour la connexion.
Authentification basée sur un certificat :
Cette approche repose sur des certificats numériques délivrés par une autorité de certification, en combinaison avec la cryptographie à clé publique pour vérifier et valider l'identité de l'utilisateur. Le certificat stocke des informations d'identification et une clé publique, tandis que l'utilisateur lui-même dispose d'une clé privée virtuelle. Cette méthode d'authentification est utile, par exemple, dans les cas où les entreprises emploient des contractants qui ont besoin d'un accès temporaire à leur réseau. Toutefois, la mise en œuvre de cette méthode peut s'avérer relativement coûteuse et prendre beaucoup de temps.
Il existe en outre une autre approche dynamique : l'authentification basée sur les risques. Lors d'une tentative de connexion, le risque d'accès non autorisé est d'abord déterminé sur la base de différents facteurs tels que le comportement de l'utilisateur, l'emplacement et les informations sur l'appareil, et les exigences d'authentification sont adaptées en conséquence.
Pour garantir le plus haut niveau possible de sécurité d'authentification, les responsables ne doivent pas se concentrer sur la suppression des mots de passe, mais sur la réduction de la dépendance à leur égard. Pour ce faire, les approches sans mot de passe s'appuient sur des méthodes d'authentification alternatives ou supplémentaires qui, comme celles mentionnées ci-dessus, sont à la fois sûres et conviviales, souvent dans le cadre d'une approche "zéro confiance" plus large. L'accès sans mot de passe et la confiance zéro contribuent tous deux à renforcer la sécurité des appareils, des utilisateurs et des réseaux dans un paysage de menaces en constante évolution, sans nuire à l'expérience utilisateur - et, en combinaison, à mettre fin à notre dépendance vis-à-vis des mots de passe.
Source : www.barracuda.com