histats

Le mot de passe mettra-t-il enfin fin au mot de passe ?

Le mot de passe mettra-t-il enfin fin au mot de passe ?

La guerre contre les mots de passe est entrée dans une nouvelle ère plus prometteuse : leur dernier combat pour l’existence. Le challenger est le mot de passe. Parlons de la raison pour laquelle cela s’est produit maintenant, de ce que sont exactement les mots de passe et de la manière dont l’industrie peut sortir victorieuse. C’est un objectif louable : le rapport Verizon DBIR 2022 a révélé que 80 % des violations de données commencent toujours par une attaque de phishing ou d’homme du milieu, utilisant des identifiants de compte piratés pour prendre le contrôle d’un compte. Alerte spoiler : les mots de passe peuvent beaucoup aider dans ce combat.

Nous avons tous une relation amour/haine avec les mots de passe de connexion. Il y en a trop ou trop peu, selon le point de vue de chacun. Les utilisateurs sont fatigués des mots de passe, ce qui signifie qu’ils font de mauvais choix de mot de passe pour des raisons d’opportunité. Les mots de passe sont trop simples ou trop complexes, et environ un tiers des consommateurs ne savent toujours pas comment renforcer la sécurité de connexion. Il faut les changer souvent, ou ne pas les changer car on a peur de les oublier. Nous avons des équipements – tels que divers appareils IoT – où nous ne pouvons pas modifier les mots de passe par défaut, même si nous le voulions. La gestion des mots de passe d’entreprise coûte de l’argent, et les remplacer par quelque chose de plus sécurisé peut coûter encore plus cher. Selon une nouvelle enquête de l’Identity Defined Security Alliance, même la majorité des professionnels de l’informatique et de la sécurité – qui devraient être mieux informés – affirment adopter des comportements de sécurité à risque. Cela n’aide pas non plus que les entreprises constatent une augmentation des violations parce qu’elles sont mieux connectées en ligne.

Mais maintenant, nous avons des clés d’accès, un terme que l’industrie a récemment adopté. C’est une idée très simple, mais qui cache beaucoup de complexité. Dans le passé, rendre les connexions plus sécurisées nécessitait un petit effort supplémentaire : saisir un code à usage unique, ajouter d’autres étapes au processus de connexion, configurer un gestionnaire de mots de passe ou un autre outil logiciel. Nous pouvons maintenant utiliser un ensemble de clés cryptographiques – ce qui signifie une longue série de chiffres – de manière à ce que l’utilisateur n’ait pas à se souvenir ou à écrire quoi que ce soit de plus. L’une des clés fonctionne de manière privée, connue uniquement de l’utilisateur, ce qui signifie qu’elle est stockée sur un téléphone ou un ordinateur dans un emplacement numérique sécurisé et facilement récupérée en cas de perte ou de vol d’un appareil. La deuxième clé est publique et sert à déverrouiller un compte. Cette paire de clés publique/privée est un processus de sécurité fondamental depuis des décennies, et il n’existe toujours pas de technologie de sécurité plus solide, plus rapide ou plus évolutive.

See also  7 nouvelles fonctionnalités iOS 16 à utiliser pour plus de confidentialité et de sécurité

Il n’y a pas de moyen facile de compromettre une connexion, car l’accès à une clé privée nécessiterait bien plus que de copier un simple mot de passe. Les clés d’accès sont à l’opposé des mots de passe qui sont constamment échangés entre les utilisateurs et les services et facilement hameçonnés. Au lieu de cela, avec les mots de passe, rien de ce qui concerne l’utilisateur n’est transmis, il n’y a donc rien de personnel à hameçonner pour prendre le contrôle d’un compte. L’industrie qualifie les clés d’accès de “résistantes au phishing”.

Dans le passé, nous avons essayé d’étendre les mots de passe avec différentes méthodes d’authentification multi-facteurs (MFA). Ceux-ci incluent des SMS pour envoyer des codes à usage unique, ou l’exécution d’une application d’authentification pour smartphone (telle que Google ou Authy) pour générer le code, ou des clés matérielles spécialisées de YubiKey, SoloKeys ou Titan de Google.

Le SMS MFA est tombé en disgrâce il y a près d’une décennie. Les applications basées sur le téléphone étaient utiles car la plupart des gens en avaient déjà une avec eux. Cependant, si un téléphone est perdu ou volé, l’utilisateur a besoin de sauvegardes pour terminer la connexion. Et ils ont besoin d’au moins deux clés matérielles et de les conserver dans deux endroits distincts, au cas où ils en perdraient une. De plus, les clés matérielles s’intègrent dans les appareils via une variété de méthodes de connexion, telles que USB-A, USB-C, Bluetooth ou NFC. Cela signifie que la gestion d’une collection de clés et sa mise en correspondance avec l’entité de point de terminaison et le connecteur corrects deviennent désordonnées.

Voici donc le défi : nous devons faire en sorte que la MFA – ou des connexions plus sécurisées – se produise en une seule étape sans mots de passe, codes à usage unique ou captchas ennuyeux. Défi accepté, c’est pourquoi les mots de passe sont une meilleure idée. Ils n’exigent pas que les utilisateurs se souviennent de quoi que ce soit, que ce soit pour entrer le code à usage unique ou l’endroit où l’utilisateur a entré la clé matérielle pour la dernière fois. Il réalise MFA en une seule étape, ce qui le rend beaucoup plus convivial. Et parce qu’il n’y a aucune information personnelle ou spéciale “ce que vous savez” stockée n’importe où ou partagée avec quelqu’un d’autre, elle est beaucoup plus sécurisée que ces autres méthodes MFA. Il n’y a pas non plus de matériel supplémentaire à magasiner. Les clés d’accès permettent également de préparer automatiquement les clés et de préserver la confidentialité.

See also  Pratique : CardPointers maximise les récompenses de votre carte de crédit avec des applications pour iPhone, iPad et Mac

Les protocoles derrière le mot de passe utilisent la norme WebAuthn. Lorsqu’un utilisateur s’inscrit pour un mot de passe, l’appareil crée la paire de clés. Les clés d’accès sont gérées par divers outils faisant partie du système d’exploitation (tels que le trousseau iCloud d’Apple ou Windows Hello et l’authentificateur de Microsoft) ou peuvent être créées par le gestionnaire de mots de passe intégré du navigateur. Cette norme n’est qu’une des nombreuses autres qui ont été élaborées par l’Alliance Fast Identity (FIDO) et adoptées par des centaines de fournisseurs, de grandes entreprises et d’entités gouvernementales.

Google, Apple et Microsoft sont tous des partisans et des contributeurs de WebAuthn et d’autres normes FIDO, et sont inclus dans les dernières versions du système d’exploitation et du logiciel de navigation. Les normes de FIDO suppriment également la programmation personnalisée et les méthodes propriétaires et séparent également les méthodes MFA des applications réelles qui doivent en dépendre. Avant les clés de mot de passe, les entreprises combinaient les méthodes FIDO avec d’autres facteurs de sécurité (tels que les gestes du doigt, la saisie, la géolocalisation) à l’aide de routines d’authentification adaptatives qui ajustent à quel point elles ont besoin de MFA pour effectuer une opération particulière. Ce n’est toujours pas aussi convivial que les mots de passe.

Il y a plusieurs problèmes. Premièrement, les mots de passe ne nécessitent actuellement aucune attestation. Cela signifie qu’il n’y a rien dans la spécification actuelle qui lie le mot de passe à l’identité humaine réelle. Une partie de cela est une conception consciente, car les machines les créent. “Les clés de sécurité sur Android n’auront initialement aucune attestation. Si nous ajoutons une attestation à l’avenir, elle sera dans un nouveau format commun à différents produits Google”, écrit l’ingénieur Google Adam Langley. Cela a changé, avec une annonce qu’Android 13 prendra en charge de meilleurs protocoles d’attestation.

See also  Rendez votre entraînement pratique - où que vous soyez

Deuxièmement, les clés de sécurité ne sont pas conçues pour être partagées par les utilisateurs sur différents systèmes d’exploitation, ce qui signifie qu’un utilisateur ne peut pas exécuter une clé de sécurité générée par Apple directement sur un appareil Android. Pour être entièrement multiplateforme, nous avons besoin d’un serveur de gestion de clés conçu dans cet esprit. “En transmettant vos mots de passe numériques à Apple, Microsoft et Google, vous permettez à ces entreprises de vous piéger plus facilement dans leurs écosystèmes respectifs. Actuellement, l’Alliance FIDO n’a pas de solutions spécifiques au problème de verrouillage qu’elle contribue à créer », écrit Fast Company.

Ensuite, il existe des différences de mise en œuvre entre les solutions de mots de passe orientées entreprise et grand public. Un produit grand public doit gérer des millions de mots de passe, et une mise à l’échelle pour prendre en charge ce type de charge signifie une implémentation à toute épreuve.

Enfin, les mots de passe introduisent un nouveau niveau de complexité, car ils sont différents des clés matérielles FIDO actuellement vendues. Cela nécessitera une certaine formation des utilisateurs, malgré le blitz de relations publiques d’Apple vantant à quel point il sera facile de les utiliser. Le fait de définir des attentes élevées pour les utilisateurs nous a mis dans ce gâchis de mot de passe en premier lieu.

Nok Nok peut gérer certains de ces problèmes. La suite d’authentification S3 de la société est basée sur la norme WebAuthn moderne utilisant des mots de passe et des paires de clés et offre une plomberie de sécurité pour que ces authentifications se produisent rapidement et à moindre coût. Il fonctionne sur n’importe quel canal, avec n’importe quel appareil, n’importe quelle authentification et n’importe quelle application pour fournir une sécurité évolutive et renforcée.

Les jours de fin du mot de passe ont souvent été annoncés auparavant. Cette fois, les mots de passe peuvent réellement y arriver.

David Strom, président, David Strom, Inc.

You may also like...

Leave a Reply

Your email address will not be published.