Qu’est-ce que l’authentification à deux facteurs ?

Les violations de données sont de plus en plus fréquentes de nos jours et elles ont un impact alarmant sur les entreprises dans le monde entier, avec un total de plus de 2 000 milliards de dollars de dommages annuels. Alors que les entreprises s’efforcent de sécuriser leur infrastructure et leurs actifs numériques, il est clair que l’authentification à facteur unique (et surtout l’authentification par mot de passe) est loin d’être suffisante. Les mots de passe sont facilement compromis, notamment en raison d’une mauvaise hygiène des mots de passe, mais aussi parce qu’ils sont rarement modifiés, réutilisés sur plusieurs comptes, fréquemment partagés et souvent stockés dans un endroit non sécurisé.

l’ajout d’un deuxième facteur pour authentifier les utilisateurs est nécessaire dans presque tous les cas d’utilisation de l’entreprise aujourd’hui.

L’authentification à deux facteurs offre un niveau de protection supplémentaire contre les types de cybermenaces les plus courants :

• Mots de passe volés : comme mentionné ci-dessus, une mauvaise hygiène des mots de passe facilite le vol de mots de passe. Le système A2F permet de s’assurer qu’un mot de passe volé n’est pas suffisant pour accéder à un compte.
• Attaques par force brute (piratage de mots de passe) : les pirates utilisent une puissance de calcul de plus en plus accessible pour générer des mots de passe de manière aléatoire jusqu’à ce qu’ils « craquent » le code. Mais la puissance de calcul ne permet pas de pirater un deuxième facteur.
• Hameçonnage : Le phishing reste l’un des moyens les plus courants - et les plus efficaces - de voler les informations d’identification des utilisateurs. Là encore, le système A2F protège contre les accès non autorisés en cas de vol du nom d’utilisateur et du mot de passe lors d’une attaque par hameçonnage.
• Ingénierie sociale : les pirates malins utilisent de plus en plus les médias sociaux pour lancer des attaques qui incitent les utilisateurs à donner volontairement leurs informations d’identification. Mais sans le deuxième facteur, le pirate ne peut pas accéder au compte.

le flux de travail de connexion A2F de base est maintenant familier à presque tout le monde. Bien que les spécificités diffèrent en fonction des facteurs utilisés, le processus de base est le suivant :

1. L’application/site Web invite l’utilisateur à se connecter.
2. L’utilisateur fournit le premier facteur. Ce premier facteur est pratiquement toujours quelque chose que l’utilisateur « connaît », comme la combinaison nom d’utilisateur/mot de passe, ou un code d’accès à usage unique généré par un jeton matériel ou une application pour smartphone.
3. Le site/application valide le premier facteur et invite ensuite l’utilisateur à fournir le second facteur. Ce second facteur est généralement quelque chose que l’utilisateur « possède », comme un jeton de sécurité, une carte d’identité, une application pour smartphone, etc.
4. Une fois que le site/application a validé le second facteur, l’utilisateur se voit accorder l’accès.

Les authentificateurs et les jetons d’authentification englobent quatre catégories principales : quelque chose que vous avez, quelque chose que vous savez, quelque chose que vous êtes, ou où vous êtes.

• quelque chose que vous avez : une carte d’accès physique, un smartphone ou un autre périphérique, ou un certificat numérique
• quelque chose que vous connaissez : un code PIN ou un mot de passe
• quelque chose que vous êtes : des données biométriques, telles que des empreintes digitales ou des scans de la rétine

La combinaison classique nom d’utilisateur/mot de passe est techniquement une forme rudimentaire d’authentification à deux facteurs. Mais comme le nom d’utilisateur et le mot de passe appartiennent tous deux à la catégorie « quelque chose que vous connaissez », cette combinaison est plus facilement compromise.

Jetons matériels

Les jetons matériels sont des petits dispositifs physiques que les utilisateurs présentent pour avoir accès à une ressource. Les jetons matériels peuvent être connectés (par exemple, USB, carte à puce, porte-cartes à mot de passe unique) ou sans contact (par exemple, jetons Bluetooth). Ces jetons sont transportés avec l’utilisateur. La toute première forme d’A2F moderne, introduite en 1993 par RSA, utilisait un périphérique portable doté d’un minuscule écran qui affichait des nombres générés de manière aléatoire, lesquels étaient comparés à un algorithme pour valider le détenteur du périphérique. Les jetons matériels peuvent également être perdus ou volés.

Jetons basés sur les SMS

Avec la généralisation des téléphones portables, le système A2F par SMS est rapidement devenu populaire. L’utilisateur saisit son nom d’utilisateur et reçoit ensuite un code d’accès à usage unique (MPUU) par SMS (message texte). Une option similaire utilise un appel vocal vers un téléphone portable pour fournir le MPUU. Dans les deux cas, la transmission du MPUU est relativement facile à pirater, ce qui en fait une forme moins qu’idéale d’A2F.

Jetons basés sur des applications

L’avènement des smartphones et autres périphériques mobiles intelligents a rendu très populaire le MPUU basé sur des applications. Les utilisateurs installent une application sur leur périphérique (qui peut également être utilisée sur un ordinateur de bureau). Lorsqu’ils se connectent, l’application fournit un « jeton logiciel », tel qu’un MPUU, qui s’affiche sur le périphérique et doit être saisi sur l’écran de connexion. Comme le jeton logiciel est généré par l’application sur le périphérique, le risque d’interception du MPUU ou du jeton logiciel lors de la transmission est éliminé.

Notifications Push

Peut-être le plus transparent et le plus pratique du point de vue de l’utilisateur, l’A2F par notification Push ne demande pas à l’utilisateur de saisir un jeton logiciel. Au lieu de cela, un site Web ou une application envoie directement une notification push sur le périphérique mobile de l’utilisateur. La notification avertit l’utilisateur de la tentative d’authentification et lui demande d’approuver ou de refuser l’accès d’un simple clic ou toucher. Cette méthode d’A2F est hautement sécurisée et extrêmement pratique, mais elle dépend de la connectivité Internet.

Authentificateurs sans mot de passe

Les types d’authentificateurs disponibles ont évolué et comprennent désormais des options sans mot de passe telles que FIDO, la biométrie et les justificatifs numériques d’authentification basés sur la PKI.

2FA vs MFA : quelle est la différence ?

L’authentification à deux facteurs (A2F) exige que les utilisateurs présentent deux types d’authentification, tandis que l’authentification multifactorielle (AMF) exige que les utilisateurs présentent au moins deux types d’authentification, voire plus. Cela signifie que toutes les A2F sont des AMF, mais que toutes les AMF ne sont pas des A2F. Alors que l’authentification multifactorielle peut nécessiter n’importe quelle combinaison d’authentifiants et de jetons d’authentification pour accéder à une ressource, une application ou un site Web, l’authentification A2F ne nécessite que deux authentifiants prédéfinis pour accéder à une ressource. En fonction des besoins de votre entreprise, l’authentification A2F peut apporter le niveau de sécurité supérieur que votre entreprise recherche tout en permettant une expérience fluide pour les utilisateurs finaux.

Les différents types de facteurs qui peuvent être utilisés pour permettre l’authentification à deux facteurs sont abordés ci-dessus. Mais même au sein de chaque type d’authentifiant, il existe de nombreuses options différentes parmi lesquelles choisir - et de nouvelles technologies sont constamment mises au point. Comment choisir les facteurs à utiliser pour votre protocole A2F ? Voici quelques questions pour vous aider à faire le bon choix :

• Souhaitez-vous que l’authentification soit transparente pour l’utilisateur ?
• Souhaitez-vous que l’utilisateur soit muni d’un dispositif physique ou s’authentifie en ligne ?
• Souhaitez-vous que le site Web s’authentifie également auprès de l’utilisateur ?
• Dans quelle mesure les informations que vous protégez sont-elles sensibles et quel est le risque associé ?
• L’accès physique (lien) aux bureaux, laboratoires ou autres zones fait-il partie de vos exigences en tant qu’utilisateur ?

Entrust fournit les conseils d’experts pour renforcer votre sécurité avec une authentification multifactorielle de haute qualité. Nous soutenons la plus large gamme d’authentificateurs de sécurité A2F, vous permettant de choisir la meilleure option pour répondre à vos besoins de sécurité et les cas d’utilisation. Plus important encore, Entrust peut fournir des conseils d’experts pour vous aider à sélectionner la ou les bonnes options et simplifier votre passage à l’authentification à deux facteurs de haute sécurité.

L’authentification à deux facteurs est la forme la plus omniprésente d’authentification multifactorielle, ce qui en fait une solution parfaite pour les cas d’utilisation où plusieurs personnes doivent accéder aux données. Par exemple, les applications de santé utilisent couramment l’authentification à deux facteurs parce qu’elle permet aux médecins et aux autres cliniciens d’accéder à la demande aux données sensibles des patients, souvent à partir de périphériques personnels.

De même, les applications bancaires et financières A2F peuvent contribuer à protéger les informations de compte contre les attaques de phishing et d’ingénierie sociale tout en permettant aux consommateurs d’effectuer des opérations bancaires mobiles.

Applications industrielles de l’A2F :

• Soins de santé
• Banques
• Secteur de la vente au détail
• Enseignement supérieur
• Médias sociaux
• Institutions gouvernementales/fédérales

Quels sont les menaces/risques de l’authentification à deux facteurs ?

les pirates utilisent plusieurs approches pour tenter de contrecarrer l’AMF et l’A2F. En voici quelques-unes :

• Ingénierie sociale : lors d’une attaque par ingénierie sociale, les pirates se font passer pour une source légitime demandant des informations permettant d’identifier les personnes.
• Attaques techniques : les attaques techniques comprennent les logiciels malveillants et les chevaux de Troie.
• Vol physique : la possession physique d’un smartphone ou d’un autre périphérique mobile par un individu mal intentionné peut constituer une menace pour le système A2F.
• Contournement de la récupération du compte : comme le processus de réinitialisation du mot de passe contourne souvent l’A2F, les pirates peuvent parfois s’appuyer sur un simple nom d’utilisateur pour subvertir l’A2F.

l’A2F constitue une avancée majeure par rapport à l’authentification à facteur unique - en particulier l’authentification traditionnelle par mot de passe et toutes ses failles liées au facteur humain. Elle est suffisamment sûre, mais l’authentification multifactorielle (AMF) est désormais considérée comme la solution de facto pour l’authentification des utilisateurs. Les exigences de conformité telles que PCI DSS ont également remplacé l’A2F par l’AMF et les entités gouvernementales rendent l’AMF obligatoire dans les institutions fédérales. Avec l’AMF, il est possible d’ajouter d’autres facteurs de forme (autres que les mots de passe) pour renforcer la sécurité. L’utilisation de la biométrie pour l’authentification de l’utilisateur, combinée à la vérification du périphérique et à l’ajout de contrôles contextuels basés sur les risques, permet d’évaluer le niveau de risque de l’utilisateur et du périphérique avant d’accorder l’accès. L’AMF avec des options sans mot de passe et une authentification adaptative basée sur le risque est la voie à suivre pour renforcer la sécurité.

Quels sont les authentificateurs/jetons d’authentification les plus courants ?