Une évaluation d’Incognia des frictions rencontrées lorsque les utilisateurs essaient de se connecter à des applications mobiles avec un nouveau gadget suggère que seul un certain nombre d’applications fournissent une authentification à partir d’un nouveau gadget sans inclure de manière significative le temps et difficulté du processus. Les stratégies d’authentification multifacteur (MFA) obsolètes semblent être nettement plus courantes que l’utilisation de la biométrie.
Le « Gadget Modification Mobile App Friction Report » pour 2021 examine 24 applications mobiles de premier plan pour les fintechs et les banques, afin de comprendre comment des techniques d’authentification sont utilisées pour sécuriser les connexions à partir de nouveaux appareils mobiles.
Attaques par piratage de compte représentaient plus de la moitié de toutes les transactions trompeuses en 2020, les institutions financières sont donc encouragées à s’assurer qu’elles ont l’assurance que leurs utilisateurs sont bien ceux qu’ils prétendent être. Les institutions financières se méfient donc de l’ingénierie sociale, du phishing par SMS (ou Smishing) et des échanges de cartes SIM lorsqu’un gadget non identifié tente d’accéder à un compte existant, explique Incognia.
L’étude révèle environ 53 secondes. pour terminer l’authentification sur un nouveau gadget. Les trois quarts des applications testées prennent en charge les mots de passe à usage unique (OTP) par SMS pour l’authentification, bien que le NIST ait déprécié la technique dans ses normes d’identité numérique SP 800-63B en 2015 parce qu’elle était insuffisamment protégée.
MFA basé sur un facteur de connaissance et un élément de possession n’aident pas nécessairement, selon l’étude de recherche. Neuf des 24 applications prennent en charge un code PIN à 4 chiffres pour la validation des téléphones portables, ce qui, selon Incognia, inclut des frictions importantes.
Deux des applications, celles d’E-Trade et de Klover, ont été découvertes pour permettre l’authentification sur un nouvel appareil sans aucune action supplémentaire notable, et a ensuite fourni une authentification à partir de nouveaux appareils avec la friction la plus abordable. Incognia suppose qu’ils pourraient utiliser la biométrie comportementale ou une autre méthode d’authentification passive.
Incognia a également publié un rapport de friction des applications mobiles pour l’authentification de connexion et les réinitialisations de mot de passe afin d’analyser l’utilisation des mots de passe et des innovations de connexion sans mot de passe, la prise en charge de MFA parmi les applications monétaires, et comparez la quantité de frictions découvertes dans différentes applications.
« De nombreuses attaques de prise de contrôle de compte sont désormais le résultat de l’ingénierie sociale, du phishing et des échanges de cartes SIM, mais la plupart des applications utilisent néanmoins des SMS dans le cadre de leur processus d’autorisation d’appareils, qui est très vulnérable à ces attaques », commente André Ferraz, créateur et PDG d’Incognia. « Les appareils intelligents incluent aujourd’hui des innovations et des unités de détection qui peuvent être exploitées pour une authentification adaptative en douceur, réduisant ainsi le danger d’ATO sans inclure de friction pour l’expérience utilisateur. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
