Les attaques liées à l’authentification ont augmenté en 2022, tirant le meilleur parti des systèmes d’authentification obsolètes basés sur un mot de passe, selon une étude commandée par HYPR, une société d’authentification multifacteur sans mot de passe (MFA) basée aux États-Unis.
L’étude, réalisée par la société indépendante de recherche marketing technologique Vanson Bourne, a interrogé 1 000 professionnels de l’informatique d’organisations du monde entier comptant plus de 50 employés. Il s’agissait notamment de répondants des États-Unis (300 ), du Royaume-Uni (250 ), de France (100 ), d’Allemagne (100 ), de Chine (100 ), d’Australie (75 ) et du Japon (75 %).
Rush of MFA lutter contre les violations associées à l’authentification
3 participants sur cinq ont déclaré que leur organisation avait été la cible d’attaques liées à l’authentification dans 2022. De même, sur 88 % des répondants ciblés par une ou plusieurs cyberattaques au cours des 12 derniers mois, 43 % ont déclaré que le phishing ou le smishing était le principal type d’attaques.
pour 28% des attaques totales. Ces attaques, où un utilisateur est bombardé de nombreuses informations push pour accéder à l’appareil, n’avaient contribué qu’à 12 % et 9 % respectivement en 2021 et 2020.
« Les organisations utilisent l’authentification à deux facteurs– un facteur principal basé sur un mot de passe et un deuxième facteur basé sur un OTP ou une notification push pour sécuriser l’accès », a déclaré Steve Brasen, directeur de recherche chez Business Management Associates, qui n’a aucun lien avec l’étude.
« Le l’authentification de second facteur est un peu plus difficile à vaincre. Pour y parvenir, les acteurs malveillants envoient à plusieurs reprises des demandes d’authentification de second facteur au téléphone de l’utilisateur, ce qui les irrite jusqu’à ce qu’ils acceptent la demande et autorisent l’accès au pirate informatique », a-t-il déclaré.
La technique standard d’authentification à deux facteurs n’a en fait guère ralenti les attaques en raison de la dépendance continue aux mots de passe et des utilisateurs faillibles qui se laissent trop facilement duper en offrant des qualifications aux mauvais acteurs, a ajouté Brasen.
La plupart des organisations continuent utiliser de nombreuses méthodes d’authentification traditionnelles telles que nom d’utilisateur et mot de passe (57 %), TFA/MFA (54 %), superviseur de mot de passe (49 %) et authentification unique (43 %). Seuls 28 % des personnes interrogées ont déclaré avoir utilisé un type d’authentification sans mot de passe.
Un cinquième des personnes interrogées ont déclaré avoir subi au moins deux violations liées à l’authentification en 2015. Le coût moyen d’une authentification -la violation liée a été signalée à 2,95 millions de dollars.
L’authentification traditionnelle cesse de fonctionner sur plusieurs sites
La plupart des répondants (87 %) pensaient que l’approche de leur organisation en matière d’authentification était totale et principalement sûre et sécurisé. Ceci, comme le mentionnent les spécialistes, est enraciné dans leur manque de connaissances pour adopter les normes du marché.
« De nombreuses organisations ont résolu le problème de sécurité de l’authentification en superposant une option OTP ou une notification push en plus de leurs outils d’authentification existants basés sur un mot de passe. car c’était le moyen le plus économique et le plus simple de résoudre le problème », a déclaré Brasen. « Ils ont ensuite inspecté le paquet suggérant qu’ils ont satisfait à leurs exigences de conformité et d’accord de service et ont recentré leurs plans de dépenses et leurs efforts sur la résolution d’autres problèmes de sécurité informatique. »
Les approches d’authentification traditionnelles présentent également un certain nombre de points faibles dans termes de gestion et de contrôle. Les préoccupations mises en évidence par les répondants à l’étude comprenaient le problème de la confirmation ferme des travailleurs à distance (36 %), les appareils tiers non gérés (35 %), la complexité de l’innovation pour la publication (34 %), la résistance des travailleurs à l’adoption (31 %) et la réinitialisation du mot de passe/des informations d’identification. (29 %).
En outre, 81 % des personnes interrogées ont admis avoir eu des problèmes pour accéder aux informations essentielles au travail sur les célébrations, ils ont oublié un mot de passe. Le rapport indique une dépense moyenne de 375 $ par travailleur et par an pour les problèmes de mot de passe.
« Au lieu de réduire les impacts de la sécurité sur les performances des utilisateurs, les méthodes traditionnelles à deux facteurs augmentent en fait la friction des utilisateurs, les obligeant à effectuer des tâches supplémentaires dans afin d’accéder aux ressources dont ils ont besoin pour terminer les tâches », a ajouté Brasen.
L’étude a observé une préparation du marché pour l’authentification sans mot de passe, car presque tous les participants (98 %) ont convenu que leurs organisations gagneraient à exécuter des approches sans mot de passe .
Les principales récompenses pour le passage aux méthodes sans mot de passe consistaient à améliorer l’expérience et l’efficacité de l’utilisateur (45 %), à renforcer la cybersécurité (43 %), à favoriser l’adoption de l’authentification multifacteur par les employés (42 %) et à abandonner les systèmes traditionnels non sécurisés ( 36 %)
« La prise de conscience accrue de la valeur des techniques d’authentification sans mot de passe est motivée par des recommandations et des réglementations rendues publiques », a ajouté Brasen. « Le calendrier des toutes nouvelles technologies sans mot de passe (telles que les clés d’accès) et l’adoption accrue des normes FIDO accélèrent également les implémentations sans mot de passe. »
L’idée préconçue liée aux dépenses d’exécution pour les systèmes sans mot de passe augmente, comme avantages d’après Brasen, le renforcement de la sécurité, l’amélioration de l’expérience utilisateur et l’efficacité de l’entreprise l’emportent sur les défis précédents.
L’enquête a mis en évidence quelques croyances erronées sur ce qui constitue une authentification sans mot de passe. Parmi les participants déclarant que leurs organisations utilisaient des systèmes sans mot de passe, 58 % utilisaient des OTP via une application d’authentification mobile, 54 % utilisaient des jetons matériels OTP tels que des jetons RSA (54 %), 53 % utilisaient des alertes push et 50 % conservaient des mots de passe déverrouillés avec biométriques et communiquées en arrière-plan.
Un véritable système sans mot de passe, sans utilisation de mots de passe, n’est utilisé que par 3 % des répondants, ce qui suggère qu’un grand nombre d’organisations avec une option présumée sans mot de passe sont s’ouvrent toujours au phishing, au push fatigue et à d’autres attaques MFA.
Cette étude met l’accent sur la nécessité d’éduquer sur les techniques sans mot de passe, car 65 % des personnes interrogées ne pouvaient pas distinguer une MFA conventionnelle d’une MFA résistante au phishing, et 82 % pensent toujours que les MFA conventionnels offrent une sécurité complète ou élevée.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
