niveau de sécurité supérieur aux mots de passe standard. et s’en souvenir) est difficile », vérifie le message.
« Sans aucun doute, les utilisateurs concevront leurs propres stratégies pour gérer la « surcharge de mots de passe ». Cela consiste à utiliser des modèles prévisibles pour développer des mots de passe ou
réutiliser exactement le même mot de passe sur différents systèmes. »Selon le NCSC, les opposants utilisent régulièrement ces stratégies d’adaptation, laissant les consommateurs et les organisations vulnérables. Pour renforcer la sécurité de l’authentification en ligne
, le guide décrit quatre catégories d’accès sans mot de passe à : l’authentification multifacteur (MFA), OAuth 2.0, FIDO2, les liens magiques et les mots de passe à usage unique
( OTP). « La technique d’authentification la plus courante qui va au-delà des mots de passe consiste à exécuter une authentification multifacteur », lit-on dans le guide. La MFA peut utiliser comme deuxième élément des codes PIN, des jetons de sécurité créés
par un gadget USB, des détails biométriques (tels que des empreintes digitales ou des scans de visage) et des applications pour smartphone. Le NCSC comprend que le deuxième aspect le plus approprié à utiliser lors de la mise en œuvre de l’AMF dépendra des services de l’organisation qui offrent aux utilisateurs une option de 2e aspects garantira aux entreprises de couvrir la plus large base de consommateurs. Le message examine ensuite le protocole OAuth 2.0, utilisé dans l’authentification par authentification unique (SSO), qui permet aux clients de s’enregistrer sur un nouveau service à l’aide de leur compte existant (par exemple, Google ou Facebook). Le NCSC déclare que si OAuth 2.0
permet aux utilisateurs de tirer parti des procédures de sécurité de leur entreprise (y compris MFA), cela dépend également de l’état du serveur de ce fournisseur de services pour terminer l’authentification. De plus, si un adversaire compromet les qualifications du compte du fournisseur de services, cette technique lui permettra d’accéder aux services qui l’utilisent pour l’authentification. « Pour ce facteur, la posture de sécurité de l’OAuth doit être réfléchie et Les entreprises OAuth qui font preuve d’une sécurité appropriée doivent être choisies « , lit le message. Ensuite, le NCSC vérifie l’authentification FIDO2, qui peut inclure un appareil personnel comme un téléphone portable
ou un ordinateur portable avec un module de plate-forme de confiance (TPM) ou un secret USB physique (souvent avec la biométrie intégrée) et peut être utilisé pour des opérations sans mot de passe. connexions ou comme deuxième facteur. Le Security Center déclare que, pour la plupart, les utilisateurs seraient responsables de l’acquisition du jeton et que le perdre implique de perdre la capacité de valider le service auquel ils essaient d’accéder, ils doivent donc s’inscrire à une sauvegarde. les principaux fournisseurs de téléphones et d’ordinateurs autorisent FIDO2 en mode natif sur leurs appareils […] il reste un certain nombre d’obstacles à l’adoption, y compris la fonctionnalité et le coût à l’avance », lit-on dans le guide. Le NCSC vérifie les liens magiques et les OTP comme méthode d’authentification sans mot de passe, affirmant qu’ils offrent une expérience utilisateur simple, en éliminant les mots de passe oubliés et les problèmes de violation de mot de passe. Bien que pratique, le guide décrit que ces technologies partagent les mêmes restrictions que la MFA basée sur les appareils. « Comme avec MFA, si un escroc a accès au téléphone d’un utilisateur, il peut accéder aux comptes associés à ce numéro de contact. » Pour des exemples utiles de chacune de ces méthodes d’authentification sans mot de passe, le guide NCSC est facilement disponible ici.
Toute l’actualité en temps réel, est sur L’Entrepreneur
