Les clés d’accès sont conçues pour remplacer les mots de passe et lutter contre les attaques de phishing, mais Google et Microsoft préviennent qu’elles seront insuffisantes si des méthodes de récupération plus faibles persistent. Microsoft a déclaré : « Chaque compte est aussi sécurisé que son identifiant le plus faible », indiquant que les mots de passe et les options de récupération par SMS pourraient toujours fournir de nouvelles surfaces d’attaque même après la mise en œuvre des clés d’accès.
Google reconnaît que les mots de passe facilitent un accès en ligne plus facile et plus sûr que les mots de passe et autres méthodes d’authentification multifacteur traditionnelles. Cependant, la société prévient que les utilisateurs doivent également sécuriser leurs comptes avec une vérification en deux étapes (2SV) pour se protéger contre les tentatives d’usurpation d’identité qui pourraient exploiter les mots de passe perdus.
Les vulnérabilités des processus de récupération automatisés peuvent permettre aux attaquants d’utiliser des informations d’identification plus faibles pour contourner complètement les clés d’accès. Selon Microsoft, même si le déploiement de clés d’accès améliore la sécurité de connexion, de nombreux comptes continuent d’être associés à des options de récupération de mot de passe ou de SMS, conservant ainsi des surfaces d’attaque potentielles. “Le déploiement de clés d’accès améliore la connexion”, a déclaré Microsoft, soulignant les risques présentés par des méthodes de récupération faibles.
La solution de récupération optimale consiste à utiliser le mot de passe du compte sur un autre appareil. Microsoft a également noté qu’une méthode de récupération supérieure inclut la présentation d’une pièce d’identité émise par le gouvernement et d’une vérification biométrique, conforme aux recommandations du NIST pour une récupération avec une assurance élevée.
Microsoft cible principalement ses conseils sur les utilisateurs professionnels, tandis que Google se concentre sur les utilisateurs domestiques. Malgré cette distinction, tous deux reconnaissent que des services comme Gmail restent des cibles attractives pour les cybercriminels. Google exhorte les utilisateurs à mettre en œuvre 2SV pour une protection supplémentaire contre les accès non autorisés, en particulier compte tenu du risque que des attaquants utilisent à mauvais escient le processus de récupération de compte.
Google souligne la nécessité d’utiliser deux types spécifiques de 2SV : les invites Google et une application Authenticator sur les appareils mobiles. Google et Microsoft déconseillent de s’appuyer sur des codes SMS à usage unique, les catégorisant comme des formes faibles d’authentification multifacteur qui devraient être entièrement désactivées au profit d’alternatives plus sécurisées.
Bien que l’adoption des mots de passe soit en augmentation, Microsoft prévient que leur efficacité dépend de l’élimination complète des informations d’identification hameçonnables par les utilisateurs. Google souligne que même si les mots de passe constituent une évolution cruciale, ils ne constituent pas une solution infaillible, d’autant plus que les attaquants ciblent de plus en plus les flux de récupération et les méthodes d’authentification de secours.
