Paul Trulove, PDG de SecureAuth
Chaque utilisateur dans le monde numérique d’aujourd’hui a probablement rencontré identités fédérées, mais quelques connaissent les menaces de sécurité associées. Les outils sur lesquels nous comptons tous les jours – comme Google et Facebook – déploient une gestion d’identité fédérée en reliant l’identité numérique d’un utilisateur à de nombreux fournisseurs de services, permettant à l’utilisateur de se connecter immédiatement et de passer à une autre application ou service sans se reconnecter.
Bien que cela améliore l’expérience utilisateur, réduit les surfaces d’attaque et améliore les performances, si un seul point d’accès est piraté, toutes les identités et les applications ou services en aval liés au système peuvent être compromis. Étant donné l’utilisation courante des identités fédérées, quelles sont les menaces et les meilleures pratiques pour la gestion des identités fédérées ?
Une histoire de l’identité fédérée
Les identités fédérées remontent à plus de vingt ans, lorsque les affaires ont commencé pour se rendre compte qu’ils avaient besoin de méthodes plus efficaces et protégées pour gérer les identités des utilisateurs dans plusieurs systèmes et applications. Le projet Liberty Alliance, lancé en 2001, visait à développer des normes et des technologies ouvertes pour la gestion fédérée des identités. Il a réuni des entreprises et des organisations, telles que Sun Microsystems, Novell et American Express, pour produire un cadre typique. La première variante des spécifications Liberty Alliance a été publiée en 2003 et a défini un ensemble de protocoles et de normes pour l’échange d’informations d’authentification et d’autorisation entre divers systèmes et domaines.
De nombreuses autres initiatives et normes ont émergé dans les pays fédérés. gestion des identités depuis, comprenant Security Assertion Markup Language (SAML), OpenID Connect et OAuth, entre autres. Ces technologies jouent un rôle crucial en permettant un accès sûr, sécurisé et fluide aux ressources dans divers systèmes et domaines, tout en s’efforçant de préserver la confidentialité personnelle des utilisateurs et le contrôle des détails d’identité. SAML, OpenID et OAuth peuvent également être utilisés pour exécuter un cadre de non-approbation, qui suppose qu’aucun utilisateur ou gadget ne peut être approuvé par défaut, approuvant l’accès uniquement en fonction du contexte de la demande et de l’identité de l’utilisateur ou du gadget.
Des avantages substantiels, même si des menaces invisibles existent
Les identités fédérées utilisent des avantages significatifs dont de nombreux utilisateurs ne sont peut-être même pas conscients. Le plus évident est une expérience utilisateur améliorée ; la gestion fédérée des identités permet aux utilisateurs d’accéder à de nombreuses applications et services à l’aide d’un seul ensemble d’informations d’identification. Quiconque essaie de gérer de nombreuses informations d’identification personnelles et professionnelles (par exemple, les noms d’utilisateur et les mots de passe) peut l’apprécier lorsqu’il a moins de choses à garder à l’esprit et à gérer. Les identités fédérées peuvent également améliorer la sécurité en permettant des approches d’authentification plus fortes, en réduisant la menace de failles de sécurité liées aux mots de passe et en améliorant la gestion de l’accès des utilisateurs aux ressources dans différents domaines.
Bien que ces avantages soient importants, les risques liés aux identités fédérées sont rarement évalués puisque l’utilisation d’identités fédérées est devenue une pratique courante. Le vrai danger est que les méthodes de gestion des accès fédérés n’ont pas suivi le rythme de l’évolution des cyber-risques et de la numérisation croissante. Lors de l’utilisation d’identités fédérées, le fournisseur de services d’identité est responsable de l’authentification et de l’autorisation, ce qui limite le contrôle que les organisations ont plus que l’accès utilisateur aux ressources et informations internes. Il existe de nombreuses capacités que vous utiliseriez si votre magasin d’identité était local, mais vous ne pouvez généralement pas les utiliser lors de la fédération à d’autres sources de données, telles que :
- Occasions de sécurité de l’identité : tout événement impliquant la compromission ou l’accès non autorisé aux détails d’identité d’un utilisateur, consistant en des identifiants de connexion et des informations individuelles.
- Indice de confiance de la source : le niveau de confiance que vous pouvez accorder aux informations fournies par une source donnée.
- Directives relatives aux mots de passe source : les politiques et procédures qui spécifient les exigences de création et de gestion des mots de passe, telles que la complexité, modifier le calendrier, l’expiration, etc.
- Comptes obsolètes : comptes d’utilisateurs qui n’ont pas été consultés ou utilisés pendant une durée prolongée, où l’organisation détermine le délai pour ce qui rend un compte stagnant.
- Consignes de suppression de la source : politiques et traitements définissant le processus d’élimination de l’accès des utilisateurs aux systèmes, informations et autres ressources.
Dans une certaine mesure, les organisations ont en fait choisi de sécuriser localement les identités non fédérées en utilisant ces capacités, mais lorsque vous examinez si vos outils d’authentification traitent les identités fédérées comme reposant sur les utilisateurs par défaut, la réponse est généralement oui. L’un des nombreux risques liés à l’utilisation par défaut des identités fédérées est que vous autorisez les utilisateurs avec peu de contrôle de sécurité à confirmer à votre réseau, application, magasin de données ou autre actif informatique. Cela implique que votre entreprise peut faire face à des risques pour les systèmes et les applications, des attaques de phishing et un accès non autorisé à des données sensibles.
Meilleures pratiques pour la gestion des identités fédérées
Les identités fédérées font face à de nombreuses difficultés importantes , permettant aux utilisateurs de s’authentifier auprès de nombreux fournisseurs d’identité avec un seul ensemble de qualifications de connexion et d’accéder aux ressources de n’importe où et en utilisant une variété d’appareils. L’évaluation fréquente de l’accès aux opportunités, la mise en œuvre du concept du moindre avantage et la sécurisation de l’interaction sont autant de méthodes que les organisations peuvent utiliser pour accroître la sécurité des identités fédérées, mais elles peuvent ne pas être suffisantes. À l’avenir, la fédération doit progresser pour mieux gérer les architectures et les méthodes sans confiance, en traitant chaque événement d’authentification comme un événement de sécurité non approuvé, avec des vérifications avant et après l’authentification pour confirmer en permanence la sécurité de toute authentification d’identité, en particulier lors de l’obtention de données. provenant de sources externes.
À propos de l’auteur
Paul Trulove possède 15 ans d’expérience en IAM dans des fonctions de direction et, en tant que PDG de SecureAuth, il définit la vision et la technique. Plus récemment, Trulove était CPO chez SailPoint Technologies où il a participé en 2007 en tant que responsable d’article, pilotant la stratégie produit, la feuille de route et la messagerie pour son portefeuille de gestion des identités leader sur le marché. Il a joué un rôle clé dans le passage de SailPoint d’un pionnier de l’identité à son introduction en bourse efficace.
Avant SailPoint, Trulove a acquis une expérience considérable dans la création de stratégies d’articles innovantes, la sortie d’articles dans des entreprises en phase de démarrage et la croissance de produits en leaders de la classification dans les entreprises technologiques comprenant Newgistics, Sabre et Pervasive Software.
AVIS DE NON-RESPONSABILITÉ : les informations sur le marché de Biometric Update sont envoyées. Les opinions exprimées dans cet article sont celles de l’auteur et ne reflètent pas nécessairement les opinions de Biometric Update.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
