Matthew McConaughey et Michael Kaine d’AI Island dans le débat…

Suicide d’un directeur d’école

La broche en diamant que Napoléon a perdue en fuyant Waterloo…

Mobile

Façons de mettre en œuvre l’authentification multifacteur sans appareil mobile

Lire aussi :

Xiaomi pourrait enfin faciliter la désactivation des…

Les soldes d’été de Dbrands offrent des réductions…

Les mots de passe sont difficiles à retenir et encore plus difficiles à changer périodiquement, et il est de plus en plus difficile de concevoir des informations d’identification solides. Au lieu de relever le défi, de nombreux utilisateurs s’appuient sur des mots de passe faibles et les réutilisent pour plusieurs comptes. Cela permet aux cybercriminels de deviner facilement les informations d’identification ou de les obtenir via des attaques de phishing.

Une fois collectées, les informations d’identification peuvent être vendues sur le dark web. Ensuite, le criminel d’origine et des hordes d’autres attaquants peuvent accéder aux systèmes et données personnels et professionnels.

L’authentification à deux facteurs (2FA) et l’authentification multifacteur (MFA) sont des moyens acceptés pour rendre les informations d’identification beaucoup moins vulnérables. 2FA repose sur une combinaison de quelque chose que vous connaissez (par exemple, nom d’utilisateur/mot de passe) et quelque chose que vous avez (par exemple, votre téléphone portable ou ordinateur, une carte-clé ou une clé USB) ou quelque chose que vous êtes (par exemple, un scan de votre iris ou de votre empreinte digitale) pour s’assurer que seules les personnes autorisées peuvent accéder aux systèmes et informations sensibles.

L’AMF peut impliquer les trois facteurs. Avec MFA, même si la combinaison nom d’utilisateur/mot de passe est volée, l’accès à un compte est extrêmement difficile car les criminels ne pourront pas effectuer les étapes d’authentification supplémentaires.

Cliquez sur la bannièrepour accéder à un contenu personnalisé lorsque vous vous inscrivez en tant qu’initié.

Quand MFA et appareils mobiles ne font pas bon ménage

Les méthodes courantes de mise en œuvre de la MFA reposent souvent sur l’utilisation d’appareils mobiles. Lorsqu’un message SMS, un mot de passe à usage unique ou une notification push est envoyé, il est généralement envoyé au smartphone d’un utilisateur. Cela dit, il existe certains risques associés à l’envoi de SMS, d’un mot de passe à usage unique ou de notifications push pour MFA. Lorsqu’ils sont mis en œuvre de manière incorrecte ou comme seule méthode de sécurité, les messages peuvent être piratés et les codes interceptés. En fait, le gouvernement américain a recommandé qu’aucune solution MFA ne repose uniquement sur des outils de vérification par SMS.

Assurer la protection en dehors de l’AMF mobile

Pour combler ces lacunes et garantir une couverture MFA à 100 %, les agences peuvent envisager des clés de sécurité matérielles. La clé est généralement un périphérique physique, souvent une clé USB qui n’accorde l’accès aux comptes que lorsqu’elle est connectée à un ordinateur. Il offre un haut niveau de protection contre le phishing et le piratage car personne ne peut accéder à un compte sans les identifiants de connexion et la clé. Et cela ne dépend pas d’un téléphone.

Une autre solution est Login.gov, la plate-forme de vérification d’identité à distance basée sur le cloud des administrations des services généraux. Login.gov fournit une authentification forte pour permettre au public d’accéder aux programmes participants, en utilisant MFA pour les ordinateurs de bureau ainsi que les appareils mobiles. L’utilisateur n’a qu’à créer un compte Login.gov, créer un mot de passe fort, puis sélectionner une ou plusieurs méthodes d’authentification supplémentaires. Il s’agit notamment des clés de sécurité, des applications d’authentification, des méthodes biométriques et de la vérification de l’identité personnelle ou des cartes d’accès communes.

17M

Le nombre de personnes inscrites à Login.gov en mars 2021

Source : govtech.com, le service d’authentification du gouvernement fédéral arrive dans l’État, gouvernement local, 5 mars 2021

Comment Login.gov gère l’authentification

Certaines options d’authentification de Login.gov ne nécessitent pas d’appareil mobile. Ceux-ci inclus:

  • Clés de sécurité : Ces appareils physiques offrent le plus haut niveau de protection contre le phishing et le piratage en cas de perte ou de vol. Pour être utilisées avec Login.gov, les clés de sécurité doivent respecter les normes Fast Identity Online. Les exemples incluent les clés YubiKey, qui prennent en charge de nombreux protocoles et sont compatibles avec une large gamme de services en ligne.
  • Demandes d’authentification : Ces applications, lorsqu’elles sont téléchargées sur un ordinateur, génèrent des codes sécurisés à six chiffres utilisés pour se connecter aux comptes. L’application est plus sécurisée que les appels téléphoniques ou les SMS, qui sont susceptibles d’être victimes d’hameçonnage, de piratage ou d’interception par des cybercriminels qui peuvent rediriger les messages. Des exemples d’applications d’authentification sont 1Password et OTP Manager pour les appareils Windows et Mac et l’extension Authenticator pour Chrome.
  • Authentification biométrique : La reconnaissance faciale et la connexion par empreintes digitales aux comptes Login.gov sont des méthodes résistantes au phishing, mais elles présentent certaines limites. Ils ne peuvent être utilisés que sur les appareils qui les prennent en charge, et ils sont spécifiques à la fois à l’appareil et au navigateur. Dans la plupart des cas, les utilisateurs devront acheter et installer du matériel pour la reconnaissance d’empreintes digitales ou une caméra biométrique.
  • PIV ou CAC : La vérification de l’identité personnelle ou les cartes d’accès communes sont des options sécurisées pour les employés du gouvernement fédéral et le personnel militaire. Ils sont résistants au phishing et difficiles à pirater en cas de vol. Cependant, ces cartes ne sont pas disponibles pour tout le monde.
  • Codes de secours : Si tout le reste échoue, Login.gov peut générer une liste de codes de secours, chacun ne pouvant être utilisé qu’une seule fois lors de la connexion. Il s’agit de l’option la moins sécurisée pour MFA ; les codes doivent être imprimés ou écrits, ce qui les rend tout aussi vulnérables que les mots de passe écrits sur des notes autocollantes laissées sur un bureau. Les utilisateurs qui choisissent des codes de secours comme méthode MFA préférée doivent protéger étroitement les codes.

Les méthodes MFA qui reposent sur des appareils mobiles peuvent être pratiques, mais il existe un besoin pour des alternatives tout aussi puissantes. Login.gov fournit plusieurs options d’authentification MFA, étendant la portée de l’authentification forte à ceux qui ne peuvent pas ou ne veulent pas utiliser d’appareils mobiles.

SUIVANT: Pourquoi les initiés pourraient être la plus grande menace pour vos efforts de confiance zéro.

www.actusduweb.com
Suivez Actusduweb sur Google News


vous pourriez aussi aimer Plus d'articles de l'auteur
Plus d'Articles

Xiaomi pourrait enfin faciliter la désactivation des publicités…

Les soldes d’été de Dbrands offrent des réductions rares allant…

Ce sera l’application qui empêchera l’accès aux sites Web…

Le meilleur jeu d’horreur de 2017 arrive sur iPhone –…

Il est temps de mettre à jour : Sony publie des mises à jour du…

La prochaine fonctionnalité Tap To Provision d’Apple enrichit…

1 De 416

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Lire la suite