What Is Multi-factor Authentication (MFA)?

 

En savoir plus

What is Multi-factor Authentication (MFA)?

As a concept, multi-factor authentication (MFA) goes back well before cloud computing, e-commerce, online services, and all the other activities that take place over the internet. Many of us remember a time when banking services required you to supply your government-issued ID along with your mother's maiden name to gain access to account information. Today, in its simplest terms, multi-factor authentication adds a layer of security as people access online accounts by requiring the use of two or more types of credentials or "factors."" The classic definition of MFA factors is "something you have" (like a one-time password), "something you know" (like a PIN or password), or "something you are" (like a biometric). Using two or more of these factors delivers MFA.

As data breaches and fraud have escalated, the need for multi-factor authentication has become critical to reducing risk.

 

Pourquoi un nom d'utilisateur et un mot de passe ne suffisent plus...

Enterprises across all sectors are spending a fortune on cybersecurity. Gartner estimated that spending on information security and risk management will total $172 billion in 2022, up from $155 billion in 2021 and $137 billion the year before. And yet, the breaches continue unabated.

According to the 2023 ForgeRock Identity Breach Report, unauthorized access was the leading cause of breaches for the fifth consecutive year. Questionable yet common practices, like sharing or reusing passwords, give bad actors an easy path to gaining access to valuable data, such as birth dates or Social Security numbers. This reality brings into sharp focus the need to adopt a multi-layered, defense-in-depth approach to identity and access management (IAM), which includes MFA.

Multi-factor authentication can help to prevent the most common types of attacks from succeeding, such as brute-force attacks, credential stuffing, and man-in-the-middle attacks. And it can prevent devastating account takeover (ATO) attacks from occurring. By requiring an added credential, such as a one-time password (OTP) delivered via text message (SMS) or authenticator app, an attacker with credentials still can't gain access to the targeted resources.

En savoir plus sur la prévention des violations.

There was a 233% Increase in U.S. breaches exposing user credentials compared to 2021. Credentials — username and password combinations — are attractive targets as they enable unauthorized access to sensitive systems, networks, and data.

Rapport ForgeRock Identity Breach 2023

Le problème des mots de passe

The most common password worldwide, according to VPN leader Nord Security, is 123456. More than 100 million people use that password for their personal accounts despite persistent warnings about weak passwords and recommendations for the use of unique passwords that would be difficult to guess even if someone knew something about you. (Read some password tips here.)

Les raisons pour lesquelles les individus ne suivent pas les recommandations relatives à la création de mots de passe complexes sont nombreuses. L'une d'elles est qu'ils sont trop complexes pour être mémorisés. Une autre est le fait que les individus estiment que leurs données ont peu de valeur et qu'ils ne courent donc aucun risque. Après tout, pourquoi un hacker se donnerait-il la peine d'infiltrer un compte sans valeur financière ou sans la promesse de mettre la main sur de nombreuses données sensibles ?

The trouble with that thinking is that the holder of the infiltrated account is rarely the intended target. If attackers have stolen credentials or a simple or default password, they can use an infiltrated system or account to gain a foothold into a network, where the valuable data resides. So, an employee's poor security practices don't simply affect that employee — they may lead to the exposure of customer data, intellectual property, and other valuable assets.

Another problem with passwords is that most people use the same passwords across multiple sites and accounts. So, if an attacker gains entry into one account, there's a good possibility that the same credentials will be used on other, perhaps more interesting, accounts. Furthermore, 53% of people store their passwords in an insecure manner, according to a Forrester survey.

Pour contrer ces risques et bien d'autres, de nombreuses entreprises adoptent l'authentification sans mot de passe. En éliminant les mots de passe, vous pouvez éliminer les risques et les coûts qui y sont associés.

 

The "factors" in multi-factor authentication

Les trois catégories les plus courantes, ou facteurs d'authentification, se définissent comme suit : quelque chose que l'on sait, quelque chose que l'on possède et quelque chose que l'on est. Le MFA fonctionne en combinant deux facteurs ou plus parmi ces catégories.

  • Something you know, also known as the "knowledge" factor, typically includes passwords, personal identification numbers (PINs), and one-time passwords (OTPs). It may also include asking the user to answer a security question, such as the name of the street you grew up on.
  • Les facteurs de possession (ce que l'on possède) peuvent être un appareil ou autre chose que l'utilisateur détient. Il peut s'agir d'une application d'authentification sur un appareil mobile, de clés de sécurité ou d'un jeton de sécurité, c'est-à-dire un dispositif matériel qui se branche sur le port USB d'un ordinateur. Les smartphones servent souvent de facteur de possession pour l'obtention d'un code à usage unique.
  • Les facteurs inhérents (ce que l'on est) renvoient à la biométrie. Il peut s'agir d'une reconnaissance faciale, d'empreintes digitales, de la rétine ou d'une authentification vocale.

 

Le rôle croissant de l'IA dans l'authentification

Tout le monde s'accorde à dire que l'authentification est importante, mais il faut trouver un juste milieu entre sa fonction de garante de la sécurité et celle de porte d'entrée de votre entreprise. Il est inutile que des employés connus et à faible risque soient soumis à une authentification rigoureuse à chaque fois qu'ils se connectent ; cela serait frustrant et nuirait à la productivité. De même, une procédure de connexion ou d'achat trop lourde côté clients risquerait fort de les inciter à aller voir ailleurs.

C'est là que l'intelligence artificielle (IA) entre en jeu. Nourries par le machine learning et l'IA, les méthodes d'authentification se perfectionnent, s'adaptent à la personne qui se connecte et vérifient si une tentative de connexion ou un comportement en ligne diffère de d'habitude. Lorsque le contexte change, par exemple l'emplacement de l'utilisateur ou son appareil, ou même la sensibilité de l'application à laquelle il accède, une authentification supplémentaire basée sur le risque est déclenchée, connue sous le nom d'authentification renforcée. Si le contexte est en tout point conforme aux attentes, le système requiert une authentification allégée et facilite l'accès pour l'utilisateur.

ForgeRock's AI-driven solution is called ForgeRock Autonomous Access. Very simply, Autonomous Access assigns a risk score to every login attempt based on a variety of factors. It uses that score to instantly apply the appropriate level of friction based on risk.

  • Low risk: this is a trusted user, logging in during expected hours using the same device and network, within the same geolocation, as is typical. This user sails through and bets immediate access.
  • Medium risk: this may be a known user logging in on the usual device, but may be in a different time zone or even a different country. Additional authentication is required before access is granted.
  • High risk: This user is almost certainly malicious, possibly a bot, having failed multiple automated login attempts. Access requests can be remediated or fully blocked.

ForgeRock Autonomous Access est une solution de protection contre les menaces basée sur l'IA qui empêche le piratage de compte et la fraude pendant l'authentification, tout en supprimant les contraintes inutiles pour les utilisateurs légitimes.

 

L'authentification multifacteur : c'est la loi aux États-Unis

In an effort to make the country less vulnerable to cyberthreats, the Biden administration issued an Executive Order (EO) requiring the use of MFA by U.S. government agencies. The Executive Order (EO) 14028 on Improving the Nation's Cybersecurity was signed in May 2021 and required agencies to adopt multi-factor authentication within 180 days of the EO, stating, "Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."

 

Conclusion : la nécessité de l'authentification multifacteur

L'authentification était autrefois plus simple, à une époque où tous les employés étaient connectés à un réseau et accédaient aux applications et aux ressources à partir d'un datacenter centralisé. Aujourd'hui, les employés se connectent à l'aide de plusieurs appareils, dont beaucoup sont non gérés, et ils se déplacent sans cesse, en se connectant tantôt à la maison, tantôt depuis un Wi-Fi public et souvent dans des lieux divers et variés. Les entreprises doivent offrir à leurs clients, qu'il s'agisse de consommateurs, de patients, de citoyens, d'élèves ou autres, une expérience simple et fluide tout en gérant des identités qui peuvent se compter par millions.

L'utilisation d'un système d'authentification moderne, à base d'intelligence artificielle et de machine learning, permet aux entreprises de fournir le niveau de sécurité nécessaire pour empêcher les intrus d'entrer. Dans le même temps, cela facilite l'accès des utilisateurs légitimes pour préserver la productivité des employés et la satisfaction des clients.

Ressources

Blog

Série IAM 101 : Qu'est-ce que le piratage de compte ?

Page Web

La gestion des identités basée sur l'IA

Page Web

Authentification sans mot de passe

Présentation de la solution

ForgeRock Identity Management