En ce qui concerne les produits, les données sont désormais l’un des produits les plus importants qui soient. En 2006, le mathématicien britannique Clive Humby est même parvenu à affirmer que « les données sont le tout nouveau pétrole ». Entre les mains des cybercriminels, il y a une donnée qui est de l’or numérique ; votre mot de passe.
Les mots de passe, ainsi que d’autres informations utilisateur telles que les noms et les adresses e-mail, sont un produit très précieux pour les pirates, qui achètent et vendent fréquemment ces informations sur le dark web dans le cadre d’une économie souterraine. Des entités malveillantes acquièrent alors ces informations en sachant qu’elles fournissent la clé pour voler l’identité numérique d’un individu.
En fait, ForgeRock a lancé aujourd’hui son 4e rapport annuel sur les violations, le ForgeRock Consumer Identity Breach Report 2022, qui a révélé que plus de deux milliards d’enregistrements de données, y compris les noms d’utilisateur et les mots de passe ont été compromis en 2021, soit une augmentation de 35 % par rapport à 2020.
Les autres enregistrements compromis comprenaient le nom, l’adresse, le numéro de sécurité sociale (SSN), la date de naissance, les informations de santé protégées (PHI ), et des informations de paiement ou bancaires.
Pour les entreprises, cette étude de recherche souligne que les techniques conventionnelles basées sur les mots de passe ne sont tout simplement pas efficaces pour prévenir le vol d’identifiants et empêcher l’économie de la violation d’informations.
Identifier les points faibles de la sécurité basée sur les mots de passe
Parmi les schémas les plus choquants qui ont émergé pendant la pandémie de Covid-19, figurait le niveau d’identification- vol ayant lieu. Un audit de 2020 sur le dark web a révélé qu’il y avait plus de 15 milliards de mots de passe exposés en ligne.
Alors que ce chiffre continue d’augmenter de jour en jour, il devient de plus en plus clair que les mots de passe sont autant un problème de sécurité qu’une étape d’authentification.
« Les noms d’utilisateur et les mots de passe sont le maillon le plus faible du Web. Le monde a dépassé de loin le point où un mot de passe de base peut fournir une sécurité suffisante, et les attaquants le savent. Stimulé par l’exigence FIDO2 WebAuthn, le passage au sans mot de passe l’authentification prend de l’ampleur ; elle améliore à la fois la sécurité et la facilité d’utilisation de l’accès en ligne, tout en réduisant considérablement l’efficacité des qualifications volées par les cybercriminels », a déclaré Fran Rosch, PDG de ForgeRock.
L’exploitabilité des mots de passe par le phishing et les escroqueries d’ingénierie sociale est une vérité que les fournisseurs grand public et les fournisseurs de services de sécurité d’entreprise tentent de défier avec le développement de solutions d’authentification sans mot de passe qui permettent aux utilisateurs de se connecter sans mot de passe.
Cela se produit surtout au sein de l’alliance FIDO, avec des fournisseurs comme Apple, Microsoft, Google et même des fournisseurs de gestion de mots de passe comme LastPass, qui se consacrent à établir des options de connexion sans mot de passe pour aider à protéger les utilisateurs contre les attaques basées sur les informations d’identification.
Alors que les chercheurs s’attendent à ce que le marché de l’authentification sans mot de passe passe d’une valeur de 12,79 milliards de dollars en 2021 à 53,64 milliards de dollars d’ici 2030, il est probable que davantage de fournisseurs emboîteront le pas en établissant leurs propres alternatives de connexion sans mot de passe.
Comment les entreprises peuvent réduire le vol d’informations d’identification
Alors que de nouvelles options d’authentification sans mot de passe apparaissent chaque jour, la majorité des entreprises dépendent toujours des mots de passe pour empêcher les utilisateurs non approuvés . Cela signifie qu’il est nécessaire d’encourager les travailleurs à choisir des mots de passe forts avec un mélange de majuscules et minuscules, de lettres, de chiffres et de signes.
Dans le même temps, Rosch déclare que les organisations peuvent s’efforcer de minimiser le coût et l’impact des violations d’informations déclenchées par le vol d’informations d’identification, en libérant l’intelligence artificielle (IA).
Rosch note qu’avec l’IA, les organisations peuvent utiliser la reconnaissance des formes, l’apprentissage automatique et l’analyse comportementale pour reconnaître et consister en un accès non approuvé aux propriétés de l’information tout en fournissant aux utilisateurs reconnus un accès transparent.
Une étude du Ponemon Institute recommande aux entreprises d’utiliser l’IA pour réduire de près de 80 % le coût global d’une violation d’informations.
Ces contrôles peuvent être encore renforcés en utilisant une option d’identité et d’accès à la gestion (IAM) pour s’assurer que les employés n’ont pas un accès privilégié à de grandes quantités de ressources que les agresseurs pourraient exploiter, et fournir un lieu de travail véritablement zéro confiance.
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de mieux comprendre les technologies d’entreprise transformatrices et d’effectuer des transactions. En savoir plus sur l’adhésion.
Toute l’actualité en temps réel, est sur L’Entrepreneur