Depuis le début de l’informatique, l’humble combinaison d’un nom d’utilisateur et d’un mot de passe a sécurisé notre accès à l’information. Dans le monde numérique d’aujourd’hui, ce modèle est toujours la norme pour les consommateurs et les employés qui se connectent à sites Internet, applications, VPNs et services cloud. Mais il est temps de repenser de toute urgence car le modèle est cassé.
Contrairement à la croyance populaire, le problème ne concerne pas vraiment les attaques par force brute des pirates pour déchiffrer les mots de passe, bien que cela se produise. Le vrai problème est le nombre et la fréquence des violations de données où les informations d’identification des utilisateurs sont divulguées puis mises à disposition à la vente sur le Web sombre. En fait, selon le dernier rapport de violation de Verizon, 80% des hacks d’aujourd’hui ne sont pas vraiment des hacks mais de mauvais acteurs se connectant simplement avec des informations d’identification d’utilisateur valides qu’ils ont obtenues ailleurs.
Peu importe la façon dont nous sécurisons les tuyaux avec un cryptage fort ou l’efficacité d’un Security Operations Center (SOC), si quelqu’un peut facilement obtenir des informations d’identification et se connecter « légitimement », nos meilleurs efforts ont été vains. Les mots de passe sont également à l’origine d’une expérience utilisateur terrible et stressante, ce qui pourrait expliquer en partie pourquoi les jeunes générations semblent avoir renoncé à les appliquer correctement.
A propos de l’auteur
Ben Todd est responsable des ventes mondiales chez Nomidio
Sommaire
Les habitudes de mot de passe empirent, pas mieux
Vous pourriez imaginer que les natifs du numérique, ces jeunes générations nées dans un monde connecté, sont plus en mesure de se protéger en ligne. Malheureusement, une nouvelle recherche que nous avons commandée confirme que les jeunes générations ont des habitudes de mot de passe nettement plus risquées que leurs parents, avec 24% des personnes âgées de 24 à 38 ans (Millennials) utilisant le même mot de passe pour tous leurs comptes, contre seulement 2% des baby-boomers.
Avec 14% des jeunes générations déclarant n’avoir jamais changé leur mot de passe, il est facile de voir comment les méchants peuvent utiliser des informations d’identification volées à un endroit pour se connecter ailleurs. Peut-être pire encore, il est maintenant courant pour les jeunes (62%) de partager volontairement leurs informations d’identification pour des services comme Netflix avec leurs amis et leur famille, peut-être en les envoyant à l’aide de comptes de messagerie ou de messagerie non cryptés.
Le but de cette recherche n’est pas de dénigrer les jeunes, mais plutôt de souligner que la façon dont nous demandons aux gens de s’authentifier aujourd’hui est trop lourde pour les utilisateurs et est en fait la cause fondamentale de l’industrie en plein essor du vol d’identité. Il est révélateur que des analystes de Gartner aient déclaré dans un rapport récent que «les violations de données d’informations personnelles identifiables (PII) rendent obsolète la vérification des données d’identité statiques (noms d’utilisateur et mots de passe)».
2FA à la rescousse?
La réponse logique au cours des dernières années a été de superposer des «facteurs» supplémentaires au mot de passe. En demandant aux gens de valider leur identité en fonction de « quelque chose qu’ils ont », en entrant un mot de passe à usage unique envoyé sur leur téléphone portable ou leur courrier électronique, nous pouvons rendre la vie beaucoup plus difficile pour les pirates.
L’authentification à deux facteurs ou «2FA» a gagné en popularité et fait désormais partie intégrante des exigences d’authentification forte du client pour les paiements en ligne. La majorité des grandes entreprises demandent également aux employés d’utiliser 2FA lors de la connexion.
Malheureusement, cela aggrave encore une mauvaise expérience car il n’est vraiment pas logique que l’identité d’une personne soit liée à son appareil. Que se passe-t-il si vous essayez de vous connecter à une application professionnelle pour fixer une date limite alors que vous êtes sur la route et que votre téléphone est à court de batterie? Ou vous utilisez une application d’authentification et vous perdez votre téléphone? C’est peut-être pour cette raison que seuls 25% des répondants à notre enquête ont déclaré activer régulièrement 2FA lorsque c’est une option.
Il y a aussi des points d’interrogation sur la durée pendant laquelle 2FA gênera les méchants avec un certain nombre d’attaques de phishing récentes évoluant pour inciter les utilisateurs à désactiver volontairement leur protection 2FA. Les problèmes d’identité nécessitent une réforme de la racine et de la branche, la 2FA est une belle tentative, mais nous devons être beaucoup plus ambitieux.
La biométrie multi-facteurs est-elle la réponse?
Une approche d’authentification multifacteur basée sur la biométrie a le potentiel d’apporter un changement radical dans la sécurité et l’expérience de l’utilisateur. Dans un monde où les employés se connectent sur les réseaux publics, de n’importe où, nous ne pouvons plus leur offrir de «périmètre». Au lieu de cela, nous devons investir dans une authentification moderne qui aide les utilisateurs à accéder facilement et en toute sécurité aux services quand et où ils le souhaitent.
Plutôt que de demander aux utilisateurs de se souvenir d’un mot de passe, nous stockons leurs identifiants biométriques, une empreinte vocale et faciale, afin que nous puissions nous authentifier par rapport à ceux de tout appareil à partir duquel ils se connectent. Nous combinons le contrôle biométrique avec des facteurs «silencieux» supplémentaires qui augmentent encore la sécurité. Donc, du point de vue de l’utilisateur, tout ce qu’il a à faire est de présenter son visage et il est dedans.
Avec des protocoles sous-jacents comme OpenID Connect, les fournisseurs de sites Web, d’applications ou de services cloud peuvent facilement permettre à un fournisseur d’identité d’ajouter une authentification biométrique au-dessus de leurs systèmes. Pour l’utilisateur, cela rend son identité biométrique largement interopérable et en coulisse, cela fonctionne exactement de la même manière que la connexion avec Facebook ou Google.
Avec un service d’authentification biométrique bien conçu, nous pouvons également dissocier l’identité d’une personne de son appareil. Nous décrivons souvent cela comme « l’effet Netflix », car la vérification biométrique se produit dans le cloud plutôt que localement sur un appareil qu’un utilisateur peut se déplacer entre son ordinateur portable, son téléphone ou un appareil tiers et toujours se connecter en utilisant son visage.
Les gens ont compris que la biométrie détenait la réponse à une authentification plus sécurisée depuis un certain nombre d’années, mais il a été difficile pour toutes les entreprises, sauf les plus grandes, de déployer la technologie. Mais l’économie et la complexité s’améliorent et nous pensons que nous sommes un excellent exemple.
Si nous voulons vraiment lutter contre le vol d’identité et les violations de données, nous devons abandonner les noms d’utilisateur et les mots de passe, car ils sont la raison pour laquelle les gens ont besoin de stocker leurs informations personnellement identifiables avec de nombreuses organisations. Ce sont ces informations personnelles qui sont perdues et qui sont ensuite utilisées pour perpétrer plus de piratages.
