vendredi, 15 octobre 2021

Alors que Microsoft annonce l’authentification sans mot de passe, sommes-nous prêts à renoncer aux mots de passe ?

L’authentification sans mot de passe n’est peut-être que la nouvelle méthode de sécurité. Aujourd’hui, presque tout ce que nous faisons en ligne nécessite un mot de passe, qu’il s’agisse de déverrouiller des appareils mobiles, d’effectuer des transactions bancaires ou d’accéder à des systèmes pour le travail.

Pour sécuriser les mots de passe, les utilisateurs sont désormais obligés d’utiliser plus de caractères pour leurs mots de passe et, plus important encore, de ne pas utiliser les mêmes mots de passe pour leurs comptes personnels, leurs comptes professionnels et leurs appareils, entre autres.

Cependant, la complexité de la mémorisation de plusieurs mots de passe continue d’être une épine dans le pied des entreprises et des consommateurs. De nombreux consommateurs préfèrent utiliser le même mot de passe pour tous leurs besoins d’authentification, tandis que les entreprises peuvent choisir d’utiliser des mots de passe sécurisés générés automatiquement comme méthode d’authentification à des fins professionnelles.

Le moment est venu d’adopter l’authentification sans mot de passe

Bien que cela ne soit pas entièrement nouveau, il existe de solides arguments en faveur de l’authentification à deux facteurs (ou plus récemment, de l’authentification multifacteur – MFA). Les plates-formes et les sites ajoutent de plus en plus cette fonctionnalité à leurs services en tant que couche de sécurité supplémentaire pour sécuriser les connexions et fournir une vérification supplémentaire pour l’accès des utilisateurs.

Non seulement les utilisateurs ont besoin de mots de passe, mais ils doivent également utiliser un autre code, fourni en temps réel, pour accéder à leurs comptes. Ces codes peuvent être envoyés par SMS, depuis un appareil physique ou par e-mail, entre autres.

Dans le secteur bancaire et financier, le MFA existe depuis longtemps. Pensez à votre code MSOS pour autoriser votre paiement par carte de crédit pour votre achat en ligne.

Cependant, malgré cela, les cybercriminels sont toujours capables de pirater des mots de passe et de compromettre des comptes, grâce à des techniques telles que l’achat sur le dark web, l’ingénierie sociale, l’hameçonnage, les escroqueries ou tout simplement le force brute. Dans de nombreux cas, les bases de données piratées contenant des mots de passe sont souvent vendues sur le dark web pour un joli centime.

Comme si cela ne suffisait pas, les vérifications par SMS peuvent être facilement piratées aujourd’hui tout en déchiffrant les mots de passe, ce qui simplifie grandement la vie des cybercriminels.

Les sites Web comme haveibeenpwned servent de service public pour fournir des détails si comptes de messagerie ont été compromis et vendus sur le dark web. Le site Web a révélé plusieurs fuites importantes de mots de passe, y compris ceux de grandes entreprises.

Plus tôt cette année, le Les réseaux informatiques des Nations Unies ont été piratés : des pirates se sont emparés d’une mine de données qui pourraient être utilisées pour cibler des agences au sein de l’organisation intergouvernementale. Apparemment, les pirates sont probablement entrés en utilisant le nom d’utilisateur et le mot de passe volés d’un employé de l’ONU achetés sur le dark web.

Authentification biométrique

Pour faire face à cela, l’authentification biométrique devient désormais le choix incontournable pour la vérification pour la plupart des organisations, couramment utilisée en conjonction avec l’authentification par mot de passe. Il existe plusieurs méthodes d’authentification biométrique disponibles aujourd’hui qui peuvent améliorer la sécurité des mots de passe.

Certaines méthodes d’authentification biométrique courantes incluent aujourd’hui la reconnaissance des empreintes digitales et faciale. La plupart des téléphones portables et ordinateurs portables nécessitent aujourd’hui une vérification des empreintes digitales pour y accéder, tandis que certains téléphones portables utilisent des scanners rétiniens.

Les entreprises adoptent également des fonctionnalités de sécurité à la fois pour les empreintes digitales et la reconnaissance faciale pour garantir que seules les bonnes personnes ont accès aux comptes et aux données de l’entreprise. La technologie d’authentification biométrique continue de s’améliorer depuis son introduction, avec davantage de cas d’utilisation générés pour cette méthode.

Poussée de Microsoft pour l’authentification sans mot de passe 

Avec l’amélioration de la technologie biométrique, Microsoft a décidé de passer complètement sans mot de passe pour certains de ses produits et de combiner l’authentification sans mot de passe avec la biométrie pour les utilisateurs.

Selon Vasu Jakkal, vice-président d’entreprise pour la sécurité, la conformité et l’identité chez Microsoft, les utilisateurs peuvent désormais supprimer complètement le mot de passe de leur compte Microsoft.

« Utilisez l’application Microsoft Authenticator, Windows Hello, une clé de sécurité ou un code de vérification envoyé sur votre téléphone ou par e-mail pour vous connecter à vos applications et services préférés, tels que Microsoft Outlook, Microsoft OneDrive, Microsoft Family Safety et Suite. Cette fonctionnalité sera déployée au cours des prochaines semaines », a déclaré Jakkal dans un article de blog.

(Photo de PATRICIA DE MELO MOREIRA / AFP)

Jakkal a ajouté que les mots de passe faibles sont le point d’entrée de la majorité des attaques sur les comptes d’entreprise et grand public. Il y a 579 attaques de mots de passe par seconde, ce qui fait 18 milliards chaque année.

Mais à quel point l’authentification sans mot de passe est-elle sécurisée ?

TechHQ a contacté Kevin Reed, CTO chez Acronis pour connaître son point de vue sur les authentifications sans mot de passe. Bien que Reed pense que l’utilisation de l’authentification biométrique sans mot de passe augmente la sécurité de l’accès par rapport aux vérifications par SMS, les entreprises doivent encore prendre en compte certaines considérations avant de les appliquer.

« Le plus grand avantage de l’authentification biométrique est qu’elle ne peut pas être modifiée. Vous ne pouvez pas modifier vos empreintes digitales. Vous ne pouvez pas changer votre rétine. Les attaquants ne peuvent généralement pas compromettre un serveur et voler les données biométriques d’un serveur. Ils ne peuvent pas le faire car les données biométriques ne sont pas envoyées au serveur », a déclaré Reed.

L’authentification sans mot de passe est-elle vraiment la solution ?

Reed a également ajouté que les entreprises ne devraient pas se fier uniquement à l’authentification biométrique pour se protéger contre les attaquants. Il a expliqué que les organisations doivent donner la priorité à leur profondeur défensive, sinon l’ensemble de l’entreprise peut être compromis.

Pour Samuel Bakken, directeur du produit, OneSpan, la sécurité de bout en bout de l’authentification biométrique ne s’arrête pas aux attaques de présentation sur le capteur où les données biométriques sont capturées, telles que les attaques par rejeu. Pour les entreprises, en particulier les institutions financières, Bakken suggère qu’elles examinent sérieusement la conception, la mise en œuvre, le déploiement et la configuration de leur solution d’authentification biométrique.

Malgré cela, il reste à voir si le programme sans mot de passe de Microsoft sera fructueux ou non. L’entreprise a déjà connu de multiples incidents ces derniers temps, en particulier avec ceux impliquant ses serveurs Exchange.

L’authentification sans mot de passe de Microsoft est peut-être l’avenir pour eux, mais il faudra peut-être un certain temps avant qu’elle ne devienne l’avenir pour tout le monde. Les humains sont toujours le maillon le plus faible de la cybersécurité, la suppression des mots de passe et le recours à la biométrie pourraient entraîner des problèmes plus graves.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici