Qu’est-ce que l’authentification multi-facteurs et comment dois-je l’utiliser ?

by · October 14, 2022

Qu’est-ce que l’authentification multi-facteurs et comment dois-je l’utiliser ?

Les violations de données deviennent monnaie courante dans les petites et les grandes entreprises technologiques. La dernière victime en date a été la société de télécommunications australienne Optus, qui a entraîné un accès non autorisé aux données d’identité d’environ 10 millions de personnes.

Pour ajouter à la misère des victimes, cette cyberattaque a encore déclenché une vague de tentatives de phishing et de fraude ultérieures utilisant les données obtenues à partir de cette brèche.

La mise en place de mesures de sécurité plus strictes lorsque vous vous connectez peut aider à protéger vos comptes et réduire considérablement la probabilité de nombreuses cyberattaques automatisées.

L’authentification multifacteur (MFA) est une mesure de sécurité qui oblige l’utilisateur à entrer deux (également appelée vérification en deux étapes ou authentification en deux étapes) ou plusieurs preuves d’identité pour accéder aux services numériques. Cela nécessite généralement une combinaison de quelque chose que l’utilisateur sait (code PIN, question secrète), quelque chose que vous avez (carte, jeton) ou quelque chose que vous êtes (empreinte digitale ou autre biométrique).

Par exemple, l’Australian Taxation Office a récemment renforcé certaines règles pour les fournisseurs de services numériques sur l’utilisation obligatoire de l’authentification multifacteur. Si vous utilisez certains services, vous connaissez déjà MFA.

Mais toutes les solutions MFA ne sont pas créées égales, des études récentes montrant des moyens simples de contourner les méthodes les plus courantes utilisées pour lancer des cyberattaques.

De plus, les gens préfèrent également différentes options MFA en fonction de leurs besoins et de leur niveau de connaissances techniques.

Alors, quelles sont les options actuellement disponibles, leurs avantages et leurs inconvénients, et à qui conviennent-elles ?

Il existe quatre méthodes principales d’authentification multifacteur

  • message texte: Actuellement, l’option la plus courante implique un mot de passe à usage unique (comme un code) envoyé par SMS. Bien qu’il soit assez populaire et facile à utiliser, le mot de passe ou le code qui vous est envoyé peut souvent être piraté par des applications malveillantes sur votre téléphone ou en redirigeant le SMS vers un autre téléphone. La méthode échoue également si votre smartphone est hors service ou éteint.

  • Basé sur l’authentification: Une autre méthode courante, où une application installée sur votre smartphone (telle que Google Authenticator) génère des mots de passe à usage unique valides pour une très courte période de temps, par exemple 30 secondes. Bien que plus sécurisées que les SMS, les applications malveillantes peuvent toujours voler ces mots de passe à usage unique. La méthode échoue également si votre smartphone est hors tension.

  • Application mobile: Similaire aux applications d’authentification, mais un utilisateur reçoit une demande de confirmation au lieu d’un mot de passe à usage unique. Cela nécessite que votre smartphone dispose d’une connexion Internet active et qu’il soit allumé.

  • Clé de sécurité physique: Le mécanisme le plus sécurisé ; il utilise une clé de sécurité matérielle (telle que YubiKey, VeriMark ou Feitian FIDO) qui doit être connectée à l’appareil pour vérifier son identité – dont beaucoup ressemblent beaucoup à des clés USB. Il s’agit de la principale méthode actuellement prise en charge par des sociétés telles que Google, Amazon et Microsoft, ainsi que par des agences gouvernementales du monde entier.

See also  The biggest risk of delaying iPhone and Android software updates

Un petit périphérique semblable à une clé USB avec un symbole y doré dessus
La YubiKey est un exemple de clé physique que vous pouvez attacher à votre appareil pour vérifier votre identité. Format original/Shutterstock

Chacune de ces quatre méthodes varie en termes de facilité d’utilisation et de sécurité. Par exemple, bien que les clés de sécurité physiques offrent le plus haut niveau de sécurité, leur taux d’adoption est le plus bas, avec des chiffres suggérant une adoption de seulement 10 %.

La préférence compte

Non seulement les différents types d’authentification multifacteur varient en termes de sécurité, mais ils ont également différents niveaux de popularité. Il en résulte un écart entre la plupart fiable La méthode MFA (la clé de sécurité physique) et ce qui est réellement le plus largement utilisé (MESSAGE TEXTE).

Notre équipe du Center for Cyber ​​Security Research and Innovation de l’Université Deakin a récemment mené une étude sur l’utilisation des technologies MFA. Nous avons interrogé plus de 400 participants de différents groupes d’âge, de formations et d’expériences avec l’AMF.

Les résultats de notre étude indiquent que les préférences des gens ne sont pas seulement influencées par leurs besoins de sécurité, mais aussi par la facilité d’utilisation. La majorité des utilisateurs se souciaient le plus simplicité de la méthode MFA – cela explique clairement pourquoi les solutions basées sur SMS dominent toujours le paysage, même s’il existe des alternatives plus sûres.

Dans notre étude de suivi, les utilisateurs ont reçu les clés de sécurité physiques les plus populaires pendant un mois pour les tester sans supervision. Les résultats préliminaires suggèrent que la plupart des utilisateurs ont trouvé les touches physiques efficaces et intuitives à utiliser.

Cependant, le manque de support de plate-forme et d’instructions de configuration en a créé un la perception que ces clés étaient difficiles et complexes à installer et à utiliser, d’où une réticence à les adopter.

See also  What is credential stuffing and how does it work?

Une taille unique ne convient pas à tous

Nous pensons qu’une attention particulière doit être accordée avant qu’un organisme gouvernemental ou une entreprise ne mandate l’AMF, avec quelques étapes clés à considérer.

Différentes personnes et organisations auront des besoins différents, donc dans certains cas, une combinaison de méthodes peut mieux fonctionner. Par exemple, une solution basée sur SMS peut être utilisée avec une clé de sécurité physique pour accéder aux systèmes d’infrastructure critiques qui nécessitent des niveaux de sécurité plus élevés.

De plus, l’éducation et la sensibilisation des utilisateurs sont cruciales. De nombreuses personnes ne sont pas conscientes de l’importance de l’AMF et ne savent pas quelles méthodes sont les plus sûres.

En assumant une responsabilité personnelle et en utilisant des méthodes très efficaces comme les clés de sécurité physiques pour protéger nos comptes les plus vulnérables, nous pouvons tous faire notre part pour rendre le Web plus sûr.

La conversation

Jongkil Jay Jeong, chercheur principal CyberCRC, Centre de recherche et d’innovation en cybersécurité (CSRI), Université Deakin ; Ashish Nanda, chercheur CyberCRC, Centre de recherche et d’innovation en cybersécurité (CSRI), Université Deakin, et Syed Wajid Ali Shah, chercheur CSCRC, Centre de recherche et d’innovation en cybersécurité, Université Deakin

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article d’origine.

Related posts:

  1. Qu’est-ce que l’authentification sans mot de passe et comment est-elle mise en œuvre
  2. LastPass signale une autre violation de données, mais il n’y a pas lieu de paniquer
  3. Utilisateurs de Facebook avertis : vous avez peut-être téléchargé ces applications Android et iOS voleuses de mots de passe
  4. Des vidéos de manifestations en Iran fuient malgré l’interdiction d’Internet

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *