Appgate a présenté les différents modèles d’authentification sécurisée pour empêcher le vol généralisé de mots de passe. Il a également présenté une chronologie de l’évolution de ce système.
Une connexion réussie avec un mot de passe ne garantit plus un accès légitime à un système et à des comptes sensibles. C’est pourquoi Appgate, société d’accès sécurisé et leader mondial de la cybersécurité, explique l’importance de mettre en œuvre une authentification sécurisée pour se protéger contre les menaces numériques.
Le nombre d’informations d’identification exposées a augmenté de 300% depuis 2018, et cette croissance a révélé que les clés utilisateur et les mots de passe sont une méthode inefficace en tant qu’authentification sécurisée. Cependant, la grande majorité des organisations continuent de s’appuyer sur ce modèle.
La première chose à dire claire est que chaque facteur d’authentification appartient à l’une des trois catégories suivantes:
- Connaissances: Cette catégorie fait référence à quelque chose de connu. L’exemple le plus simple est le mot de passe d’un utilisateur. Cependant, comme il est facile de manipuler ces informations d’identification, la catégorie de connaissances est la moins efficace pour mettre en œuvre une authentification sécurisée.
- Possession: Cela concerne quelque chose qui appartient et est considéré comme une catégorie d’authentification forte car il est plus difficile à manipuler. Le fait que l’utilisateur doive physiquement avoir quelque chose avec lui ajoute un défi, mais ne s’avère toujours pas être une mesure infaillible.
- Inhérent: Il s’agit de la catégorie d’authentification la plus forte. Il est beaucoup plus difficile pour les fraudeurs de reproduire des caractéristiques humaines, de sorte que cette catégorie inhérente devient moins une cible pour les cybercriminels.
Chaque facteur d’authentification a ses avantages et ses inconvénients. Ci-dessous, Appgate présente un aperçu de l’évolution de l’authentification.
- Le premier mot de passe: Le système basé a été créé au début des années 1960 au MIT, ce qui signifie que le mot de passe a plus de cinq décennies et même à l’époque, il n’était pas non plus sécurisé. Bien qu’ils soient faciles à installer et rentables, ils finissent par être un facteur d’authentification faible et faciles à craquer.
- Les jetons durs ont été brevetés pour la première fois à la fin des années 1980: Ils ont fourni un mot de passe à usage unique et affiché un nombre aléatoire qui changeait périodiquement. Bien que le code numérique unique change avec la fréquence et le rend difficile à manipuler, il s’agit d’un système obsolète qui a été remplacé par des appareils intelligents beaucoup plus accessibles.
- Reconnaissance des appareils: Les cookies ont été créés à la fin des années 1990 et sont devenus monnaie courante au début des années 2000. Il s’agissait du premier exemple de reconnaissance d’appareils à grande échelle. Cette technologie a évolué et s’est améliorée en incorporant diverses méthodes qui sont constamment mises à jour, cependant, les acteurs frauduleux peuvent accéder à un appareil à distance à l’aide d’un cheval de Troie d’accès à distance (RAT).
- SMS: Ils ont été largement utilisés au début des années 2000 et ont marqué le début de la distribution des mots de passe aux téléphones en général. C’est un moyen simple de mettre en œuvre un système d’authentification sécurisé. Cependant, cela s’avère peu pratique pour les utilisateurs qui ont perdu leur appareil, ou n’ont plus accès au numéro de téléphone enregistré.
- Pousser: Blackberry a été le premier à utiliser les notifications push, mais Google et Apple l’ont intégré en 2009 et 2010. Ce facteur présente un message contextuel sur un appareil mobile permettant à l’utilisateur d’accepter ou de refuser une transaction ou une tentative de connexion. Il s’agit d’une méthode très sécurisée car elle est appliquée au niveau de l’appareil, mais repose sur l’accès de l’utilisateur à l’appareil initialement enregistré sur le compte.
- Biométrie des empreintes digitales: Le Touch ID d’Apple a popularisé la biométrie des empreintes digitales en 2013. Cette méthode nécessite simplement l’empreinte digitale de l’utilisateur enregistré pour confirmer son identité, ce qui rend la réplication difficile pour un fraudeur.
- Authentification QR: Le site Web WhatsApp a lancé l’authentification QR en 2015. Les codes QR offrent un moyen d’authentification sécurisé, fournissant à chaque utilisateur un code unique. Il s’agit d’une forme d’authentification rapide, pratique et très sécurisée, mais qui ne peut être utilisée que dans les processus hors bande.
- Biométrie faciale: Le Face ID d’Apple a été l’un des premiers exemples de biométrie faciale pour authentifier les utilisateurs. Les inconvénients comprennent qu’il dépend de l’éclairage et de l’angle du visage de l’utilisateur et peut également être intercepté par une photo ou une vidéo de l’utilisateur.
Alors que de nombreux modèles d’authentification offrent un certain niveau de protection, aucun modèle n’est suffisamment efficace à lui seul. Par conséquent, il est important de s’assurer que les organisations mettent en œuvre une authentification sécurisée à l’aide de plusieurs modèles au sein de différentes catégories.
