la mise en œuvre de l’enregistrement et des connexions sans mot de passe augmente le nombre d’utilisateurs authentifiés de 20 % sur l’ensemble des sites. Il y a également eu un changement significatif au cours de l’année écoulée vers
l’adoption de la biométrie pour l’authentification sans mot de passe, selon le rapport. Projections FIDO hameçonnage Andrew Shikiar, directeur exécutif et CMO de FIDO Alliance
a prononcé un discours liminaire lors du Cybersecurity Policy Forum. L’émergence d’attaques de contournement MFA dans le courant dominant, anticipée par FIDO lors du forum virtuel sur la politique de cybersécurité
en ligne en 2022, souligne la nécessité de passer des méthodes d’authentification traditionnelles basées sur la connaissance à une authentification plus contemporaine basée sur un élément d’appartenance avec la biométrie régionale , il déclare. Au cours de l’année à venir, Shikiar prévoit que les attaques de contournement MFA se poursuivront, mais ce faisant, elles obligeront les organisations à adopter une authentification anti-hameçonnage.
Lors de l’attaque Octopus, CloudFlare a empêché une brèche en « superposant les secrets de sécurité FIDO au-dessus d’Okta au lieu de TOTP : ils n’ont pas été touchés par l’attaque.
« La même attaque a encouragé Twilio à transférer à FIDO2 plutôt que des mots de passe à usage unique. SMS OTP est la prochaine vulnérabilité à émerger. La vérification de l’identité se dirige également vers le courant dominant, déclare Shikiar, citant les délocalisations par Twitter et pour instituer des défenses d’âge en ligne. En réponse à ces tendances, l’Alliance FIDO prévoit de lancer une certification pour la vivacité et la correspondance biométrique pour les solutions de confirmation faciale en 2023. Les tests de certification des composants biométriques de l’organisation
se développent également avec une offre de détection d’attaque de présentation uniquement. La société s’efforce également de faire évoluer son authentification via un calendrier omniprésent et l’adoption par les titulaires. « Il y a des éléments fondamentaux dans la façon dont nous avons publié FIDO qui empêchaient une telle adoption », déclare Shikiar
. Nous avons donc pris le choix avec un mot de passe qui permet une plus grande convivialité à partir du système d’exploitation, sans perdre de vue la sécurité.
« Ce qui est différent, c’est que le secret privé est désormais autorisé à être synchronisé en toute sécurité dans un cloud. Les clés de passe sont également plus profondément intégrées aux systèmes en cours d’exécution, ce qui permet d’ignorer les invites « farfelues » de l’appareil et du navigateur Internet qui sont découvertes dans certaines intégrations WebAuthn. Les clés de sécurité sont extrêmement complémentaires aux clés de sécurité FIDO, selon Shikiar, et progresseront encore plus dans le courant dominant des consommateurs en 2023. Ensemble, elles pourraient aider l’authentification à servir de pont sur la fracture numérique, en modifiant le coin produit par divers mots de passe.
Un développement significatif viendra cette année sur la diminution des mots de passe pour les services gouvernementaux, prévoit FIDO. Shikiar a souligné l’approbation de FIDO et l’authentification forte dans différentes publications et déclarations d’agences gouvernementales fédérales aux États-Unis et ailleurs. Les clés d’accès sont désormais toutes définies… du moins pour certains Une table ronde
sur les clés d’accès et l’avenir de l’authentification sans mot de passe « a immédiatement suivi la présentation de Shikiar.
Le panel était composé de représentants du NIST, de Microsoft, Amazon et Google, et a été modéré par Megan Shamas de l’Alliance FIDO.
Les clés de sécurité commenceront à faire leur chemin dans les produits Google
cette année, Google Item Supervisor for Identity and Security Christiaan Brand dit. L’étude de recherche interne de l’entreprise suggère que 46 % des clients succomberont à une tentative de phishing bien conçue, ce qui renforce la motivation de l’adoption par le grand public. La fonction des gestionnaires de mots de passe et d’autres tiers correspond à ce que l’architecte des normes d’identité de Microsoft, Tim Cappalli, appelle des « fournisseurs de services de clé de passe enfichables ». Ils communiqueraient avec le système d’exploitation en tant que plug-in natif, qui fournit d’autres éléments de fonctionnalité comme la biométrie. . Brand a noté que si les clients ont une certaine clarté sur la façon dont les plates-formes comme Apple et Android traitent les clés de sécurité, l’introduction de tiers introduit une complexité et pourrait traiter la sécurité de différentes manières. Une barre minimale est en cours de discussion au sein de l’Alliance. Divers environnements tels que les systèmes d’entreprise présentent également leurs propres complexités. La synchronisation entre les appareils introduit des facteurs à prendre en compte pour les directives d’identité numérique SP 800-63-4 du NIST, actuellement en phase de projet, a déclaré Andrew Regenscheid, responsable du département de la sécurité informatique du NIST pour la sécurité enracinée dans le matériel. Ce serait formidable d’avoir un signal indiquant qu’un identifiant donné a effectivement été synchronisé avec un nouveau gadget.
Les organisations ont été invitées lors de la présentation à examiner l’adoption au-delà d’une décision binaire de déployer des clés d’accès partout pour tout le monde , ou pas de place du tout. Pour les cas d’utilisation plus compliqués, comme ceux qui incluent de nombreux appareils, la clarté sur le moment et la manière dont la clé d’accès doit être servie peut être trouvée en 2023. Avec cette clarté, et l’adoption par les utilisateurs prenant probablement une part substantielle du nombre d’appareils utilisateur sans clé d’accès, répondra progressivement à quelques-unes des
préoccupations restantes, ou les rendra sans objet. Ce sera le moment, semble-t-il, où le phishing passera enfin d’un élément auquel les utilisateurs doivent faire attention à une tradition
d’une époque moins sécurisée.
Toute l’actualité en temps réel, est sur L’Entrepreneur
