Qu’est-ce que l’authentification multifacteur et comment dois-je l’utiliser ?

Qu'est-ce que l'authentification multifacteur et comment dois-je l'utiliser ?

YubiKey est un exemple de clé physique que vous pouvez connecter à votre appareil pour vérifier votre identité. Crédit : Formatoriginal/Shutterstock

Les violations de données deviennent monnaie courante dans les petites et les grandes entreprises technologiques. La victime la plus récente a été la société de télécommunications australienne Optus, ce qui a entraîné un accès non autorisé aux données d’identité d’environ 10 millions de personnes.

Ajoutant à la misère des victimes, cette cyber-attaque a déclenché une pléthore de tentatives de phishing et de fraude ultérieures utilisant les données obtenues à partir de cette brèche.

Avoir des mesures de sécurité plus rigoureuses lors de la connexion peut aider à protéger vos comptes et réduit considérablement la probabilité de nombreuses cyberattaques automatisées.

L’authentification multifacteur (MFA) est une mesure de sécurité qui oblige l’utilisateur à fournir deux (également appelée vérification en deux étapes ou authentification en deux étapes) ou plusieurs preuves d’identité pour accéder aux services numériques. Cela nécessite généralement une combinaison de quelque chose que l’utilisateur sait (code PIN, question secrète), quelque chose que vous avez (carte, jeton) ou quelque chose que vous êtes (empreinte digitale ou autre biométrique).

Par exemple, l’Australian Tax Office a récemment resserré certaines règles pour les fournisseurs de services numériques sur l’utilisation obligatoire de l’authentification multifacteur. Si vous utilisez certains services, vous connaissez déjà MFA.

Mais toutes les solutions MFA ne sont pas identiques, des études récentes démontrant des moyens simples de contourner les méthodes les plus courantes utilisées pour lancer des cyberattaques.

De plus, les gens préfèrent également différentes options MFA en fonction de leurs besoins et de leur niveau de maîtrise de la technologie.

Quelles sont donc les options actuellement disponibles, leurs avantages et leurs inconvénients, et à qui conviennent-elles ?

Il existe quatre méthodes principales d’authentification multifacteur

SMS: Actuellement, l’option la plus courante implique un mot de passe à usage unique (tel qu’un code) envoyé par SMS. Bien que très populaire et facile à utiliser, le mot de passe ou le code qui vous est envoyé par SMS peut généralement être piraté par des applications malveillantes sur le téléphone ou en redirigeant le SMS vers un autre téléphone. La méthode échoue également si votre smartphone n’a pas de service ou est éteint.

Basé sur l’authentificateur: Une autre méthode courante, dans laquelle une application installée sur votre smartphone (telle que Google Authenticator) génère des mots de passe à usage unique valides pour une très courte durée, par exemple 30 secondes. Bien que plus sécurisées que les SMS, les applications malveillantes peuvent toujours voler ces mots de passe à usage unique. La méthode échoue également si votre smartphone est hors tension.

Application mobile: Similaire aux applications d’authentification, mais un utilisateur reçoit une invite de vérification plutôt qu’un mot de passe à usage unique. Cela nécessite que votre smartphone dispose d’une connexion Internet active et soit allumé.

Clé de sécurité physique: Le mécanisme le plus sécurisé ; il utilise une clé de sécurité matérielle (telle que YubiKey, VeriMark ou Feitian FIDO) qui doit être connectée à l’appareil pour vérifier l’identité – beaucoup d’entre elles ressemblent beaucoup à des clés USB. C’est la principale méthode actuelle prise en charge par des entreprises telles que Google, Amazon et Microsoft, ainsi que par des agences gouvernementales du monde entier.

Chacune de ces quatre méthodes varie en termes de convivialité et de sécurité. Par exemple, malgré les clés de sécurité physiques offrant le plus haut niveau de sécurité, le taux d’adoption est le plus bas, les chiffres suggérant une adoption de seulement 10 %.

La préférence compte

Non seulement les différents types d’authentification multifacteur varient en termes de sécurité, mais ils ont également différents niveaux de popularité. Il en résulte un écart entre le plus fiable Méthode MFA (la clé de sécurité physique) et ce qui est réellement le plus largement utilisé (SMS).

Notre équipe du Center for Cyber ​​Security Research and Innovation de l’Université Deakin a récemment mené une étude sur l’adoption des technologies MFA. Nous avons interrogé plus de 400 participants appartenant à différents groupes d’âge, formations et expériences avec l’AMF.

Les résultats de notre étude indiquent que les préférences des utilisateurs sont influencées non seulement par leurs besoins en matière de sécurité, mais également par la convivialité. La majorité des utilisateurs se souciaient le plus de la simplicité de la méthode MFA – cela explique clairement pourquoi les solutions basées sur SMS dominent toujours le paysage, même s’il existe des alternatives plus sûres.

Dans notre étude de suivi, les utilisateurs ont reçu les clés de sécurité physiques les plus populaires pendant un mois, à tester sans surveillance. Les résultats préliminaires suggèrent que la plupart des utilisateurs ont trouvé les touches physiques efficaces et intuitives à utiliser.

Cependant, le manque de support de plate-forme et d’instructions de configuration a créé un la perception que ces clés étaient difficiles et complexes à installer et à utiliser, d’où un manque de volonté d’adoption.

Une taille unique ne convient pas à tous

Nous pensons qu’il doit y avoir un examen attentif avant qu’une agence gouvernementale ou une entreprise ne mandate l’AMF, avec quelques étapes clés à prendre en compte.

Différentes personnes et organisations auront des besoins différents, donc dans certains cas, une combinaison de méthodes pourrait mieux fonctionner. Par exemple, une solution basée sur SMS peut être utilisée conjointement avec une clé de sécurité physique pour accéder aux systèmes d’infrastructure critiques qui nécessitent des niveaux de sécurité plus élevés.

De plus, l’éducation et la sensibilisation des utilisateurs sont essentielles. Beaucoup de gens ne sont pas conscients de l’importance de l’AMF et ne savent pas quelles méthodes sont les plus sûres.

En assumant une certaine responsabilité personnelle et en utilisant des méthodes hautement efficaces telles que les clés de sécurité physiques pour protéger nos comptes les plus vulnérables, nous pouvons tous faire notre part pour rendre le Web plus sûr.


Google met à jour sa gamme de clés de sécurité Titan avec des versions USB-A et USB-C


Fourni par La Conversation

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l’article d’origine.La conversation

Citation: Qu’est-ce que l’authentification multifacteur et comment dois-je l’utiliser ? (2022, 5 octobre) récupéré le 5 octobre 2022 sur https://techxplore.com/news/2022-10-multi-factor-authentication.html

Ce document est soumis au droit d’auteur. En dehors de toute utilisation loyale à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.