histats

Sans mot de passe vs. MFA : Quelle est la différence ?

Sans mot de passe vs.  MFA : Quelle est la différence ?

La cybersécurité des entreprises est attaquée par des menaces sans précédent, amplifiées par les surfaces d’attaque étendues causées par l’externalisation. Par exemple, les recherches de HP montrent qu’il y avait un Augmentation de 238 % du volume des cyberattaques pendant la pandémie, ces chiffres continuant d’augmenter aujourd’hui.

UNE enquête du Ponemon Institute des responsables informatiques et infosec ont constaté que le vol d’informations d’identification (56 %) et le phishing (48 %) étaient les types d’attaques les plus courants, et le rapport de défense de Microsoft a déclaré qu’il avait constaté que les attaques de phishing étaient à elles seules responsables de 70% des violations de données. La situation actuelle met en évidence la nécessité d’une posture de sécurité plus robuste, en particulier autour des défenses d’authentification.

Cela a introduit divers termes d’authentification, certains nouveaux, d’autres plus familiers, dans la conversation sur la sécurité, tels que l’authentification multifacteur (MFA), l’authentification sans mot de passe et la MFA résistante au phishing. Pour mettre en œuvre les meilleures pratiques et atténuer les risques, les décideurs doivent s’affranchir du jargon pour trouver le système qui leur fournira la meilleure protection et le meilleur retour sur investissement. Dans ce blog, nous décomposerons le débat sans mot de passe contre MFA.

Sans mot de passe vs. MFA : Définitions

Il existe de nombreux termes différents autour de l’IAM et des protocoles d’authentification, mais que signifient-ils, et plus précisément, quelles sont les différences entre sans mot de passe et MFA en matière d’authentification sécurisée ? Commençons par définir les deux termes.

Authentification multifacteur (MFA) : MFA exige qu’un utilisateur fournisse au moins deux facteurs de vérification indépendants. Ces facteurs peuvent être quelque chose que vous connaissez (par exemple, mot de passe, code PIN, modèle), quelque chose que vous êtes (par exemple, scan rétinien, reconnaissance faciale, empreinte digitale) ou quelque chose que vous possédez (par exemple, appareil intelligent, clé de sécurité).

Les mots de passe sont l’aspect le plus vulnérable de l’authentification et sont à la fois la cible préférée des attaquants et le plus grand vecteur d’attaque. L’introduction de facteurs plus indépendants rend plus difficile pour un attaquant d’accéder au système ou d’obtenir reprise de compte (ATO).

See also  Les craintes de piratage des médias sociaux augmentent - comment rester en sécurité

Authentification sans mot de passe : Comme son nom l’indique, l’authentification sans mot de passe vérifie l’identité d’un utilisateur sans utiliser de mots de passe ou de facteurs basés sur la connaissance. Il peut s’agir d’une authentification sans mot de passe à un facteur (par exemple, une YubiKey) et d’une MFA sans mot de passe (par exemple, une solution comme HYPR).

Cependant, le terme “sans mot de passe” devient flou car certaines méthodes semblent supprimer les mots de passe mais les utilisent toujours sous une forme ou une autre pendant le processus d’authentification. Par exemple, certains processus d’authentification sans mot de passe peut demander à un utilisateur une empreinte digitale pour vérifier un facteur “quelque chose que vous possédez”, mais ensuite transmettre un mot de passe activé pour l’action d’authentification sur le backend. Les liens magiques sont un autre exemple. Au lieu d’un mot de passe, ils s’authentifient à l’aide d’un jeton intégré dans une URL envoyée par e-mail ou SMS. Bien qu’il ne s’agisse pas d’un facteur basé sur la connaissance, il s’agit d’un secret partagé qui fonctionne de la même manière qu’un mot de passe, et tout secret partagé peut être « partagé » avec des attaquants.

Cela signifie qu’il doit également y avoir une différenciation supplémentaire entre les solutions entièrement sans mot de passe qui suppriment complètement les secrets partagés du processus et celles qui les cachent simplement de l’expérience de l’utilisateur. Les systèmes entièrement sans mot de passe qui n’utilisent pas de secret partagé à aucun moment du processus d’authentification sont souvent appelés MFA résistant au phishing.

Sans mot de passe vs. MFA : Quelle est la différence ?

La grande majorité des MFA s’appuient toujours sur les mots de passe comme facteur, bien que plus grandes entreprises technologiques au monde et le gouvernement fédéral a demandé d’éliminer les mots de passe de toute authentification.

Étant donné que la distribution de l’AMF reste généralement bien en dessous des niveaux qu’il devrait être, de nombreuses organisations sont encore dans la phase de découverte de la transition. Cependant, cela peut aussi être positif, car il est possible de mettre en œuvre une MFA sans mot de passe dès le début. Pour décider si c’est la bonne voie pour votre entreprise, il est important de comprendre les différences entre sans mot de passe et MFA dans quatre domaines clés.

See also  Cyber ​​​​Security Today, 2 septembre 2022 - Des centaines d'applications mobiles non sécurisées découvertes, comment créer des logiciels en toute sécurité et un tollé concernant le suivi des téléphones portables de la police américaine

Approbation: Tous les MFA ne sont pas sans mot de passe, et toutes les authentifications sans mot de passe ne sont pas MFA. Une solution MFA sans mot de passe et résistante au phishing suit les directives de Institut national des normes et de la technologie (NIST) et Agence de l’infrastructure et de la sécurité de la cybersécurité (CISA). L’identité est vérifiée à l’aide d’une fonction biologique inhérente (quelque chose que vous êtes) combinée à des clés cryptographiques privées (quelque chose que vous possédez). Le processus d’authentification lui-même utilise le chiffrement à clé publique, de sorte qu’il n’y a pas d’informations d’identification secrètes à intercepter et aucune base de données d’informations d’identification stockées à divulguer ou à pirater.

Sécurité: La MFA va de facile à cracker (SMS OTP) à extrêmement difficile (jeton FIDO soutenu par un identifiant biométrique). Bien qu’il soit plus sûr qu’un simple mot de passe, cela dépend à la fois des facteurs de vérification utilisés et du processus d’authentification lui-même. L’AMF traditionnel en utilise souvent un mot de passe à usage unique (OTP) envoyé à un appareil en tant que facteur “quelque chose que vous avez”. Bien que pratiques, les OTP sont en fin de compte des mots de passe et les attaquants peuvent facilement les contourner à l’aide de kits de phishing et d’autres techniques. Comme mentionné ci-dessus, la méthode d’authentification backend affecte également de manière significative la sécurité MFA ; s’il n’y a pas de secrets à partager, alors il n’y a rien à voler.

Expérience utilisateur: L’une des plus grandes pierres d’achoppement pour le déploiement de MFA est la crainte d’une mauvaise expérience utilisateur. Étant donné que la MFA peut nécessiter la contribution d’une grande variété de facteurs, certains peuvent être plus éprouvants lors de la connexion que d’autres. Les mots de passe ont toujours été, et sont toujours, l’une des choses les plus frustrantes concernant l’authentification des utilisateurs. Lancer une action d’authentification supplémentaire en plus de cela ne fait qu’augmenter cela et peut avoir un impact significatif sur la productivité. De plus, les utilisateurs oublient souvent ou sont obligés de faire pivoter les mots de passe, ce qui les amène à partager des mots de passe ou à créer des documents pour suivre tous leurs mots de passe, créant ainsi des risques de sécurité.

See also  Ce que les parents doivent savoir avant de partager en ligne des photos de la rentrée scolaire

Placement: Les déploiements MFA varient en complexité en fonction de l’environnement et de la solution elle-même. Il s’agit moins d’un problème sans mot de passe que d’un MFA, mais plutôt du choix d’une solution qui offre de la flexibilité et peut évoluer avec votre entreprise. Veillez à ne pas verrouiller votre processus MFA sur un IdP ou un fournisseur SSO spécifique, sinon vous vous retrouverez avec plusieurs protocoles d’authentification à déployer et à gérer, plusieurs applications d’authentification pour vos utilisateurs, ce qui peut entraîner une résistance sur tous les fronts.

Conclusion

Augmentation des menaces de sécurité autour de l’authentification, telles que Hameçonnage et pousser l’attaque, signifie que la cybersécurité de l’entreprise nécessite des systèmes plus robustes. L’authentification multifacteur résistante au phishing est la réponse, mais cela exclut la majorité des approches MFA. Il est donc essentiel pour les décideurs de comprendre les différences entre sans mot de passe et MFA qui utilise des mots de passe et d’autres facteurs hameçonnables.

Pour en savoir plus sur l’authentification sans mot de passe, téléchargez Sécurité sans mot de passe 101 guide.

La solution True Passwordless™ MFA d’HYPR élimine le compromis entre la sécurité et l’expérience utilisateur avec une MFA résistante au phishing conçue en pensant à l’utilisateur. Notre flux d’authentification transparent de bureau à cloud permet aux utilisateurs de transformer leur appareil en un jeton FIDO qui exploite la cryptographie à clé publique pour garantir une authentification sécurisée.

Pour découvrir comment HYPR peut aider à sécuriser les utilisateurs et le réseau, demander une démo personnelle.

*** Ceci est un blog syndiqué du Security Bloggers Network du blog HYPR écrit par Michael Rothschild, vice-président du marketing produit, HYPR. Lire le message d’origine sur :

You may also like...

Leave a Reply

Your email address will not be published.