YubiKey est un exemple de clé physique que vous pouvez connecter à votre appareil pour vérifier votre identité. Crédit :Formatoriginal/Shutterstock
Les violations de données deviennent monnaie courante dans les petites et les grandes entreprises technologiques. La victime la plus récente a été la société de télécommunications australienne Optus, ce qui a entraîné un accès non autorisé aux données d'identité d'environ 10 millions de personnes.
Ajoutant à la misère des victimes, cette cyber-attaque a déclenché une pléthore de tentatives de phishing et de fraude ultérieures utilisant les données obtenues à partir de cette violation.
Le fait de disposer de mesures de sécurité plus rigoureuses lors de la connexion peut aider à protéger vos comptes et réduire considérablement la probabilité de nombreuses cyberattaques automatisées.
L'authentification multifacteur (MFA) est une mesure de sécurité qui oblige l'utilisateur à fournir deux (également appelée vérification en deux étapes ou authentification en deux étapes) ou plusieurs preuves d'identité pour accéder aux services numériques. Cela nécessite généralement une combinaison de quelque chose que l'utilisateur sait (code PIN, question secrète), quelque chose que vous avez (carte, jeton) ou quelque chose que vous êtes (empreinte digitale ou autre biométrique).
Par exemple, l'Australian Tax Office a récemment resserré certaines règles pour les fournisseurs de services numériques sur l'utilisation obligatoire de l'authentification multifacteur. Si vous utilisez certains services, vous connaissez déjà MFA.
Mais toutes les solutions MFA ne sont pas identiques, des études récentes démontrant des moyens simples de contourner les méthodes les plus courantes utilisées pour lancer des cyberattaques.
De plus, les gens préfèrent également différentes options MFA en fonction de leurs besoins et de leur niveau de maîtrise de la technologie.
Alors, quelles sont les options actuellement disponibles, leurs avantages et leurs inconvénients, et à qui conviennent-elles ?
Il existe quatre méthodes principales d'authentification multifacteur
SMS :Actuellement, l'option la plus courante implique un mot de passe à usage unique (tel qu'un code) envoyé par SMS. Bien que très populaire et facile à utiliser, le mot de passe ou le code qui vous est envoyé par SMS peut généralement être piraté par des applications malveillantes sur le téléphone ou en redirigeant le SMS vers un autre téléphone. La méthode échoue également si votre smartphone n'a pas de service ou est éteint.
Basé sur un authentificateur :Une autre méthode courante, dans laquelle une application installée sur votre smartphone (telle que Google Authenticator) génère des mots de passe à usage unique valides pour une très courte durée, par exemple 30 secondes. Bien que plus sécurisées que les SMS, les applications malveillantes peuvent toujours voler ces mots de passe à usage unique. La méthode échoue également si votre smartphone est hors tension.
Application mobile :Similaire aux applications d'authentification, mais un utilisateur reçoit une invite de vérification plutôt qu'un mot de passe à usage unique. Cela nécessite que votre smartphone dispose d'une connexion Internet active et qu'il soit sous tension.
Clé de sécurité physique :Le mécanisme le plus sécurisé; il utilise une clé de sécurité matérielle (telle que YubiKey, VeriMark ou Feitian FIDO) qui doit être connectée à l'appareil pour vérifier l'identité - beaucoup d'entre elles ressemblent beaucoup à des clés USB. Il s'agit de la principale méthode actuelle prise en charge par des entreprises telles que Google, Amazon et Microsoft, ainsi que par des agences gouvernementales du monde entier.
Chacune de ces quatre méthodes varie en termes de convivialité et de sécurité. Par exemple, bien que les clés de sécurité physiques offrent le plus haut niveau de sécurité, le taux d'adoption est le plus bas, les chiffres suggérant une adoption de seulement 10 %.
La préférence compte
Non seulement les différents types d'authentification multifacteur varient en termes de sécurité, mais ils ont également différents niveaux de popularité. Il en résulte un écart entre les plus fiables La méthode MFA (la clé de sécurité physique) et celle qui est en fait la plus utilisée (SMS).
Notre équipe du Center for Cyber Security Research and Innovation de l'Université Deakin a récemment mené une étude sur l'adoption des technologies MFA. Nous avons interrogé plus de 400 participants appartenant à différents groupes d'âge, formations et expériences avec l'AMF.
Les résultats de notre étude indiquent que les préférences des utilisateurs sont influencées non seulement par leurs besoins en matière de sécurité, mais également par la convivialité. La majorité des utilisateurs se souciaient le plus de la simplicité de la méthode MFA, ce qui explique clairement pourquoi les solutions basées sur SMS dominent toujours le paysage, même s'il existe des alternatives plus sûres.
Dans notre étude de suivi, les utilisateurs ont reçu les clés de sécurité physiques les plus populaires pendant un mois, à tester sans surveillance. Les résultats préliminaires suggèrent que la plupart des utilisateurs ont trouvé les touches physiques efficaces et intuitives à utiliser.
Cependant, le manque de prise en charge de la plate-forme et d'instructions de configuration a créé une perception que ces clés étaient difficiles et complexes à installer et à utiliser, ce qui entraînait un manque de volonté d'adoption.
Une taille ne convient pas à tous
Nous pensons qu'il doit y avoir une réflexion approfondie avant qu'une agence gouvernementale ou une entreprise ne mandate l'AMF, avec quelques étapes clés à prendre en compte.
Différentes personnes et organisations auront des besoins différents, donc dans certains cas, une combinaison de méthodes pourrait mieux fonctionner. Par exemple, une solution basée sur SMS peut être utilisée conjointement avec une clé de sécurité physique pour accéder aux systèmes d'infrastructure critiques qui nécessitent des niveaux de sécurité plus élevés.
De plus, l'éducation et la sensibilisation des utilisateurs sont essentielles. De nombreuses personnes ne sont pas conscientes de l'importance de l'AMF et ne savent pas quelles méthodes sont les plus sûres.
En assumant une certaine responsabilité personnelle et en utilisant des méthodes hautement efficaces telles que les clés de sécurité physiques pour protéger nos comptes les plus vulnérables, nous pouvons tous faire notre part pour rendre le Web plus sûr.
Cet article est republié de The Conversation sous une licence Creative Commons. Lire l'article d'origine. Google met à jour sa gamme de clés de sécurité Titan avec des versions USB-A et USB-C