L'authentification multifactorielle sera la clé pour les entreprises qui protègent les actifs du cloud

En prouvant votre identité à un système de gestion des identités (IDM), vous avez peut-être remarqué que de plus en plus d'entre eux exigent une étape supplémentaire en plus de votre ID utilisateur et de votre mot de passe, tels que des invites qui envoient des codes à votre téléphone lorsque vous vous connectez. sur Gmail, Twitter ou votre compte bancaire à partir d'un appareil autre que celui que vous utilisez habituellement. Assurez-vous simplement de ne pas oublier le nom de votre premier animal de compagnie ou le lieu de naissance de votre mère, car vous devrez probablement saisir ces informations pour prouver votre identité. Ces données, requises en combinaison avec un mot de passe, constituent une forme d'authentification multifactorielle (MFA).

MFA n'est pas nouveau. Cela a commencé comme une technologie physique; Les cartes à puce et les clés USB sont deux exemples de périphériques que nous devions nous connecter à des ordinateurs ou à des services logiciels une fois le mot de passe entré. Cependant, MFA a rapidement fait évoluer ce processus de connexion pour inclure d'autres identifiants, tels que les notifications push mobiles.

"Le temps où les entreprises devaient déployer des jetons matériels était révolu. Les utilisateurs étaient frustrés en tapant des codes à six chiffres qui tournaient toutes les 60 secondes", a déclaré Tim Steinkopf, président de Centrify Corp., fabricant du Centrify Identity Service. "C’était cher et une mauvaise expérience utilisateur. Maintenant, MFA est aussi simple que de recevoir une notification push sur votre téléphone." Cependant, même les codes que nous recevons via le service de messages courts (SMS) sont maintenant désapprouvés, selon Steinkopf.

"Le SMS n'est plus un moyen de transport sûr pour les codes MFA, car ils peuvent être interceptés", a-t-il déclaré. "Pour les ressources hautement sensibles, les entreprises doivent maintenant envisager des jetons de cryptographie encore plus sécurisés qui respectent les nouvelles normes de l'Alliance Fast IDentity Online (FIDO)." Outre les clés cryptographiques, les normes FIDO2 intègrent la spécification d'authentification Web du W3C (World Wide Web Consortium) et le protocole CTAP (Client to Authenticator Protocol). Les normes FIDO2 prennent également en charge les gestes des utilisateurs à l'aide de la biométrie intégrée, telle que la reconnaissance faciale, le balayage des empreintes digitales et le balayage de l'iris.

Pour utiliser MFA, vous devez incorporer un mélange de mots de passe et de questions pour des appareils tels que les smartphones, ou utiliser des empreintes digitales et la reconnaissance faciale, a expliqué Joe Diamond, directeur de la gestion du marketing des produits de sécurité chez Okta, fabricants d'Okta Identity Management.

"De plus en plus d'organisations reconnaissent maintenant les risques de sécurité associés aux mots de passe uniques basés sur SMS en tant que facteur MFA. C'est assez simple pour un mauvais acteur de" permuter la carte SIM "et de prendre en charge le numéro de téléphone mobile", a déclaré Diamond. "Tout utilisateur exposé à un tel risque d'attaque ciblée doit mettre en œuvre un deuxième facteur plus fort, tel qu'un facteur biométrique ou un jeton qui crée une liaison cryptographique entre l'appareil et le service."

Parfois, MFA n'est pas parfait. Le 27 novembre, Microsoft Azure a subi une panne liée à MFA en raison d'une erreur DNS (Domain Name System) qui a provoqué de nombreuses demandes en échec lorsque les utilisateurs ont tenté de se connecter à des services tels qu'Active Directory.

Crédit: FIDO Alliance

Notifications Push mobiles

Les experts considèrent les notifications push mobiles comme la meilleure option parmi les "facteurs" de sécurité, car elles combinent efficacement sécurité et convivialité. Une application envoie un message au téléphone d'un utilisateur pour l'informer que le service tente de le connecter ou d'envoyer des données.

"Vous vous connectez à un réseau et au lieu de saisir uniquement votre mot de passe, vous êtes poussé vers votre appareil où il est dit oui ou non, vous essayez d'authentifier cet appareil, et si vous dites oui, il vous permet d'accéder à réseau ", a expliqué Dave Lewis, responsable des systèmes de sécurité informatique (CISO) pour le secteur de la sécurité Duo de Cisco, qui propose l’application d’authentification mobile Duo Push. Les autres produits offrant MFA comprennent le Yubico YubiKey 5 NFC et le Ping Identity PingOne.

Les notifications push mobiles ne disposent pas des mots de passe uniques envoyés par SMS, car ils peuvent être piratés assez facilement. Le cryptage rend les notifications effectives, selon Hed Kovetz, cofondateur et PDG du fournisseur de solutions MFA Silverfort.

"Ce n'est qu'un clic et la sécurité est très forte car c'est un appareil complètement différent", a-t-il déclaré. "Vous pouvez modifier l'application si elle est compromise, et si elle est entièrement cryptée et authentifiée avec les protocoles modernes. Ce n'est pas un SMS par exemple, qui est facilement compromis car la norme est fondamentalement faible et peut facilement être enfreinte avec les attaques de Signaling System 7 (SS7) et toutes sortes d'autres attaques sur SMS."

Le MFA incorpore une confiance zéro

MFA est un élément clé du modèle Zero Trust dans lequel vous ne faites confiance à aucun utilisateur du réseau tant que vous n'avez pas vérifié sa légitimité. "L'application de MFA est une étape nécessaire pour vérifier que l'utilisateur est bien ce qu'il prétend être", a déclaré Steinkopf.

"MFA joue un rôle essentiel dans le modèle de maturité Zero Trust de toute entreprise, car nous devons d'abord établir la confiance des utilisateurs avant de pouvoir accorder l'accès", a ajouté Okta's Diamond. "Cela doit également être associé à une stratégie d'identité centralisée pour toutes les ressources, de sorte que les stratégies MFA puissent être associées à des stratégies d'accès afin de garantir aux utilisateurs appropriés l'accès correct aux bonnes ressources, avec le moins de frictions possible".

Crédit: FIDO Alliance

Les mots de passe sont-ils remplacés?

De nombreuses personnes ne sont peut-être pas prêtes à abandonner les mots de passe, mais si les utilisateurs veulent continuer à les utiliser, ils doivent être protégés. En fait, le rapport 2017 sur les violations de données de Verizon a révélé que 81% des violations de données résultaient de mots de passe volés. Ces types de statistiques font des mots de passe un problème pour toute organisation cherchant à protéger ses systèmes de manière fiable.

"Si nous pouvons résoudre les mots de passe, les obtenir et passer à un type d'authentification plus intelligent, nous empêcherons la plupart des atteintes à la sécurité des données de se produire aujourd'hui", a déclaré Kovetz, de Silverfort.

Les mots de passe ne sont pas susceptibles de disparaître partout, mais ils peuvent être éliminés pour des applications spécifiques, a noté Kovetz de Silverfort. Il a ajouté que l'élimination des mots de passe pour le matériel informatique et les périphériques Internet des objets (IoT) serait plus complexe. Une autre raison, a-t-il ajouté, de dire qu'une authentification complète sans mot de passe peut ne pas arriver si tôt est que les gens y sont psychologiquement attachés.

La transition des mots de passe implique également un changement culturel dans les organisations selon Lewis de Cisco. "L'élimination des mots de passe statiques vers MFA est un changement culturel fondamental", a déclaré M. Lewis. "Vous amenez les gens à faire les choses différemment de ce qu'ils ont fait pendant des années."

Traitement MFA et intelligence artificielle

L'intelligence artificielle (IA) est utilisée pour aider les administrateurs IDM et les systèmes MFA à faire face à un déluge de nouvelles données de connexion. Les solutions MFA de fournisseurs tels que Silverfort utilisent l'IA pour obtenir des informations sur les cas dans lesquels une MFA est nécessaire ou non.

"La partie IA, lorsque vous la combinez, vous permet de prendre la décision initiale de savoir si une authentification spécifique doit nécessiter une MFA ou non", a déclaré Kovetz de Silverfort. Il a ajouté que le composant d'apprentissage automatique (ML) de l'application pouvait générer un score de risque élevé s'il détectait un schéma d'activité anormal, comme si le compte d'un employé était soudainement utilisé par une personne en Chine et si l'employé travaillait régulièrement aux États-Unis.

"Si un utilisateur se connecte à une application du bureau à l'aide de son ordinateur personnel, l'entreprise n'a pas besoin de MFA, car c'est" normal ", a expliqué Steinkopf de Centrify. "Mais si ce même utilisateur voyage à l'étranger ou utilise le dispositif de quelqu'un d'autre, il sera invité à entrer le MFA car le risque est plus élevé." Steinkopf a ajouté que MFA est souvent une première étape lors de l’utilisation de techniques de vérification supplémentaires.

Les DSI surveillent également de près la biométrie comportementale, qui est devenue une tendance croissante dans les déploiements de nouvelles AMF. La biométrie comportementale utilise un logiciel pour garder une trace de la manière dont les utilisateurs tapent ou glissent. Bien que cela semble facile, cela nécessite en fait de traiter de grandes quantités de données qui changent rapidement. C'est pourquoi les fournisseurs ont recours à ML pour vous aider.

"L'intérêt de ML pour l'authentification serait d'évaluer plusieurs signaux complexes, d'apprendre une" identité "de base de l'utilisateur basée sur ces signaux, et de signaler les anomalies par rapport à cette base", a déclaré Okta's Diamond. "La biométrie comportementale est un exemple où cela peut entrer en jeu. Comprendre les nuances de la manière dont un utilisateur tape, marche ou interagit avec son appareil nécessite un système de renseignements avancé pour créer ce profil d'utilisateur."

Périmètres disparus

Avec l'évolution de l'infrastructure en nuage, des services en nuage et en particulier des volumes de données élevés des périphériques IoT hors site, il n'y a plus qu'un périmètre physique sur le centre de données d'une entreprise. Il existe également un périmètre virtuel qui doit protéger les actifs de l'entreprise dans le cloud. Selon Kovetz, l'identité joue un rôle clé dans les deux scénarios.

"Les périmètres étaient définis physiquement, comme par le bureau, mais aujourd'hui, les périmètres sont définis par l'identité", a déclaré Kovetz. Au fur et à mesure que les périmètres disparaissent, il en va de même pour les protections que les puissants pare-feu fournissaient auparavant aux ordinateurs de bureau câblés. MFA pourrait être un moyen de remplacer ce que les pare-feu ont traditionnellement utilisé, a suggéré Kovetz.

• Authentification à deux facteurs: qui l'a et comment la configurer? Authentification à deux facteurs: qui l'a et comment la configurer
• Au-delà du périmètre: Comment s’adresser à la sécurité en couches Au-delà du périmètre: Comment s’adresser à la sécurité en couches
• Zéro modèle de confiance gagne de la vapeur avec des experts en sécurité Zéro modèle de confiance gagne de la vapeur avec des experts en sécurité

", où mettez-vous des produits de sécurité réseau?" Kovetz a demandé. "La sécurité du réseau ne fonctionne plus vraiment. MFA devient le nouveau moyen de protéger votre réseau sans périmètre."

L'un des principaux moyens permettant à MFA d'évoluer au-delà de son périmètre consiste à utiliser un nombre croissant de systèmes d'identité vendus sous forme de logiciel en tant que service (SaaS), y compris la plupart des services IDM examinés par PCMag Labs au cours de l'année écoulée. "Le grand nombre de produits SaaS qui permettent aux PME de se mettre facilement en activité fonctionnent déjà hors du périmètre", a déclaré Nathan Rowe, cofondateur et directeur des produits chez Evident, fournisseur de sécurité des données. Le modèle SaaS réduit considérablement les coûts et la complexité du déploiement. Il représente donc une aide précieuse pour les petites et moyennes entreprises car il réduit les dépenses et les frais informatiques, selon Rowe.

Les solutions SaaS sont certainement l'avenir d'IDM, ce qui en fait également l'avenir de MFA. C'est une bonne nouvelle car même les petites entreprises optent inexorablement pour une architecture informatique multi-cloud et de services cloud, où l'accès facile à MFA et à d'autres mesures de sécurité avancées deviendra bientôt obligatoire.