Microsoft demande aux particuliers d’abandonner les outils d’authentification à deux facteurs (2FA) qui utilisent encore les SMS et les appels vocaux au profit d’une technologie de sécurité plus moderne.
Les solutions d’authentification à deux facteurs standard fonctionnent en envoyant un code à usage unique à un appareil choisi. Cela signifie qu’un compte particulier n’est accessible que si une personne est en possession du mot de passe correct et du code à usage unique.
Cependant, Alex Weinert, directeur des services d’identité de Microsoft, soutient que le faible niveau de sécurité entourant les réseaux téléphoniques signifie que ces types de solutions d’authentification multifacteur font cruellement défaut. Les SMS et les appels vocaux sont transmis en texte clair et peuvent être facilement interceptés, tandis que les codes SMS sont sujets à des attaques de phishing. L’évolution des réglementations et les problèmes de performances font également des réseaux téléphoniques de mauvais choix d’outils de sécurité.
Sommaire
Authentification multifacteur
«Aujourd’hui, je veux faire ce que je peux pour vous convaincre qu’il est temps de vous éloigner des mécanismes d’authentification multifactorielle SMS et vocale», a expliqué Weinert. «Ces mécanismes sont basés sur des réseaux téléphoniques commutés publiquement (PSTN), et je pense qu’ils sont les moins sûrs des méthodes MFA disponibles aujourd’hui. Cet écart ne fera que se creuser à mesure que l’adoption de l’authentification multifacteur accroîtra l’intérêt des attaquants à casser ces méthodes et que les authentificateurs spécialement conçus étendront leurs avantages en matière de sécurité et d’utilisation. »
Weinert avertit à juste titre qu’à mesure que les solutions MFA seront de plus en plus largement adoptées, les attaquants se concentreront de plus en plus sur la recherche de vulnérabilités qui affaiblissent leur efficacité. Il soutient que les personnes soucieuses de la sécurité devraient adopter l’application Authenticator MFA de Microsoft, ou mieux encore, les clés de sécurité matérielles pour se protéger des attaques.
Il n’y a pas si longtemps, les mots de passe étaient en grande partie les seules garanties utilisées pour les solutions en ligne. Mais le paysage de la sécurité a rapidement évolué et envisage maintenant la meilleure approche d’authentification multifacteur (MFA).
Via ZDNet
