Pourquoi l'authentification à deux facteurs est-elle nécessaire ?
Les systèmes d'authentification traditionnels, basés sur des mots de passe, sont vulnérables aux attaques par hameçonnage et à l'utilisation de mots de passe faibles ou réutilisés. Étant donné que de nombreux systèmes sont accessibles depuis n'importe où sur Internet, un mot de passe compromis permet à un pirate d'obtenir un accès non autorisé à un compte d'utilisateur.
L'authentification à deux facteurs - également appelée vérification en deux étapes - est conçue pour ajouter une couche de protection supplémentaire aux comptes d'utilisateurs. Au lieu d'exiger uniquement un mot de passe pour l'authentification, la connexion à un compte compatible 2FA exige de l'utilisateur qu'il présente également un facteur supplémentaire.
Que sont les facteurs d'authentification ?
Les facteurs d'authentification sont répartis en trois catégories :
- Quelque chose que vous connaissez : Le mot de passe ou la réponse à une question de sécurité (comme celles utilisées pour la réinitialisation des mots de passe) est un exemple de facteur qui est "quelque chose que vous connaissez".
- Quelque chose que vous possédez : Ce que vous possédez peut être un smartphone ou un appareil d'authentification physique tel qu'une carte à puce ou un Yubikey. Ces appareils peuvent générer ou recevoir des codes d'accès à usage unique qui peuvent être entrés dans une page d'authentification.
- Quelque chose que vous êtes : Les facteurs "Quelque chose que vous êtes" utilisent l'authentification biométrique. Par exemple, un utilisateur peut avoir besoin d'une empreinte digitale, d'une empreinte vocale ou d'une lecture de l'iris pour accéder à quelque chose.
Idéalement, un système 2FA devrait intégrer deux types de facteurs différents. Dans le cas contraire, l'utilisation de deux facteurs identiques, tels que deux facteurs "quelque chose que vous savez", risque d'être compromise en même temps. Par exemple, deux facteurs basés sur les connaissances (comme un mot de passe et une question de sécurité) pourraient être compromis par une attaque par hameçonnage, tandis que deux facteurs physiques (comme un smartphone et une clé USB) pourraient être volés par un pickpocket.
Une combinaison courante consiste à utiliser un facteur basé sur la connaissance et un facteur physique. Par exemple, un utilisateur peut avoir besoin de fournir un mot de passe et de brancher une carte à puce ou une clé USB sur un ordinateur ou d'appuyer sur un bouton de confirmation sur son smartphone. Les facteurs biométriques sont moins utilisés parce qu'ils sont plus difficiles à créer (les scanners d'empreintes digitales et de visagesmartphone ont été mis en échec à plusieurs reprises) et qu'ils sont difficiles à modifier en cas de compromission. En d'autres termes, il est facile de changer son mot de passe, mais beaucoup plus difficile de changer ses empreintes digitales ou sa rétine.
Comment fonctionne l'authentification à deux facteurs (2FA) ?
Le système 2FA fonctionne en présentant une page de connexion qui demande à l'utilisateur d'effectuer plusieurs saisies. Il s'agit généralement d'une demande de mot de passe et de code d'accès à usage unique.
Ce code d'accès unique peut être obtenu de différentes manières. Une option courante consiste à l'envoyer par SMS ou par courrier électronique. Toutefois, cette approche est moins sûre car elle est vulnérable aux interceptions ou aux attaques par échange de cartes SIM.
Une option plus sûre est un algorithme de mot de passe unique basé sur le temps (TOTP), comme ceux utilisés dans de nombreuses applications smartphone. Lors de la configuration, l'appareil d'authentification (smartphone, clé USB, etc.) partage une valeur secrète et aléatoire. Le serveur et l'appareil d'authentification utilisent ensuite un algorithme commun pour transformer cette graine au fil du temps. Cela signifie qu'à tout moment, ils sont d'accord sur la version de cette valeur.
Lorsqu'un utilisateur tente de se connecter à un service, il fournit la valeur actuelle fournie par son appareil d'authentification au site, qui la compare à sa valeur actuelle et autorise la connexion en cas de concordance. Cependant, l'espace des valeurs possibles est suffisamment vaste pour qu'un attaquant ait très peu de chances de deviner le code correct tant qu'il est encore valide.
Comment configurer l'authentification à deux facteurs (2FA)
L'utilisation de l'authentification à deux facteurs a considérablement gagné en popularité ces dernières années. Par conséquent, de nombreux sites importants et la plupart des sites qui contiennent et traitent des données sensibles disposeront d'une prise en charge intégrée de l'authentification multifacteurs. Dans certains cas, un site peut encourager l'utilisation de l'authentification multifacteurs, en présentant une fenêtre contextuelle qui guide l'utilisateur tout au long de la procédure. Dans d'autres cas, il peut être nécessaire de consulter la page des paramètres du compte ou du profil pour configurer le 2FA.
Les détails de la mise en place de 2FA dépendent du type utilisé. Pour le 2FA par SMS ou par e-mail, la seule condition d'installation est de fournir un numéro de téléphone ou une adresse e-mail pour l'envoi des codes. Pour le 2FA basé sur TOTP, l'installation d'une application d'authentification (comme Authy ou Google Authenticator) ou l'utilisation d'une clé de sécurité USB peut s'avérer nécessaire.
2FA pour les entreprises
L'authentification à deux facteurs n'est pas seulement bénéfique pour les consommateurs. L'activation de la fonction 2FA pour l'accès aux ressources de l'entreprise peut contribuer à la protection contre les conséquences de la compromission des mots de passe des utilisateurs, en particulier dans le monde du travail à distance.
Point de contrôle propose des solutions simples pour déployer le 2FA dans votre organisation. Cela inclut la prise en charge de l'accès à distance sécurisé et des solutions d'accès à distance sécurisé (SASE). Secure Access Service Edge (SASE). Pour voir les solutions de Point de contrôle en action, demandez une démonstration.
Commentaires