What Is Multi-factor Authentication (MFA)?

 

En savoir plus

What is Multi-factor Authentication (MFA)?

As a concept, multi-factor authentication (MFA) goes back well before cloud computing, e-commerce, online services, and all the other activities that take place over the internet. Many of us remember a time when banking services required you to supply your government-issued ID along with your mother's maiden name to gain access to account information. Today, in its simplest terms, multi-factor authentication adds a layer of security as people access online accounts by requiring the use of two or more types of credentials or "factors."" The classic definition of MFA factors is "something you have" (like a one-time password), "something you know" (like a PIN or password), or "something you are" (like a biometric). Using two or more of these factors delivers MFA.

As data breaches and fraud have escalated, the need for multi-factor authentication has become critical to reducing risk.

 

Pourquoi un nom d'utilisateur et un mot de passe ne suffisent plus...

Les entreprises de tous les secteurs dépensent une fortune en cybersécurité. Gartner a estimé que le montant des dépenses en matière de sécurité informatique et de gestion des risques atteindra 172 milliards de dollars en 2022, contre 155 milliards en 2021 et 137 milliards l'année précédente. Et malgré cela, le piratage de données ne faiblit pas.

Selon le dernier rapport Consumer Identity Breach de ForgeRock, les accès non autorisés sont la principale cause de violations de données, et ce pour la troisième année consécutive. Les pratiques discutables, bien que courantes, telles que le partage ou la réutilisation de mots de passe, facilitent l'accès des hackers aux données, comme notamment les dates de naissance ou les numéros de sécurité sociale. Cette réalité souligne l'importance d'adopter une défense en profondeur et multi-couches dans le cadre de la gestion des identités et des accès (IAM), qui inclut le MFA.

Multi-factor authentication can help to prevent the most common types of attacks from succeeding, such as brute-force attacks, credential stuffing, and man-in-the-middle attacks. And it can prevent devastating account takeover (ATO) attacks from occurring. By requiring an added credential, such as a one-time password (OTP) delivered via text message (SMS) or authenticator app, an attacker with credentials still can't gain access to the targeted resources.

En savoir plus sur la prévention des violations.

« Le rapport de cette année révèle notamment que les attaques impliquant des noms d'utilisateur et des mots de passe ont augmenté de 450 % par rapport à 2019, ce qui se traduit par plus d'un milliard de données compromises rien qu'aux États-Unis. »

Rapport Consumer Identity Breach 2021 de ForgeRock

Le problème des mots de passe

Selon Nord Security, le leader des VPN, le mot de passe le plus utilisé dans le monde est 123456. Pas moins de 100 millions d'individus ont recours à ce mot de passe pour leurs comptes personnels, malgré les avertissements répétés à propos du manque de sécurité des mots de passe faibles et les recommandations en faveur des mots de passe uniques, qui seraient difficiles à deviner même si quelqu'un savait quelque chose sur vous. (Pour obtenir des conseils sur les mots de passe, cliquez ici.)

Les raisons pour lesquelles les individus ne suivent pas les recommandations relatives à la création de mots de passe complexes sont nombreuses. L'une d'elles est qu'ils sont trop complexes pour être mémorisés. Une autre est le fait que les individus estiment que leurs données ont peu de valeur et qu'ils ne courent donc aucun risque. Après tout, pourquoi un hacker se donnerait-il la peine d'infiltrer un compte sans valeur financière ou sans la promesse de mettre la main sur de nombreuses données sensibles ?

Le problème avec ce raisonnement est que le titulaire du compte infiltré est rarement la cible visée. Dans son rapport 2021 Data Breach Investigations, Verizon indique que les identifiants compromis sont impliqués dans 60 % des violations, et précise que « les identifiants restent l'un des types de données les plus recherchés. » Ce phénomène s'explique par le fait que les cybercriminels recherchent toujours le maillon le plus faible à exploiter. S'ils sont parvenus à voler des identifiants ou un mot de passe simple ou par défaut, ils peuvent se servir du système ou du compte infiltré pour mettre un pied dans un réseau, là où se trouvent les précieuses données. En conséquence, les mauvaises pratiques de sécurité d'un employé ne se limitent pas à celui-ci : elles peuvent conduire à l'exposition des données des clients, de l'entreprise et d'autres ressources précieuses.

Un autre problème avec les mots de passe, c'est que la plupart des individus utilisent les mêmes sur plusieurs sites et comptes. Ainsi, si un hacker parvient à entrer sur un compte, il y a de fortes chances que les mêmes identifiants soient utilisés sur d'autres comptes, peut-être plus intéressants. De plus, 53 % des personnes stockent leurs mots de passe de manière non sécurisée, selon un étude Forrester.

Pour contrer ces risques et bien d'autres, de nombreuses entreprises adoptent l'authentification sans mot de passe. En éliminant les mots de passe, vous pouvez éliminer les risques et les coûts qui y sont associés.

 

The "factors" in multi-factor authentication

Les trois catégories les plus courantes, ou facteurs d'authentification, se définissent comme suit : quelque chose que l'on sait, quelque chose que l'on possède et quelque chose que l'on est. Le MFA fonctionne en combinant deux facteurs ou plus parmi ces catégories.

  • Les facteurs de connaissance (ce que l'on sait) comprennent généralement les mots de passe, les codes PIN et les mots de passe à usage unique. Il peut également s'agir de demander à l'utilisateur de répondre à une question de sécurité, comme le nom de la rue où il a grandi.
  • Les facteurs de possession (ce que l'on possède) peuvent être un appareil ou autre chose que l'utilisateur détient. Il peut s'agir d'une application d'authentification sur un appareil mobile, de clés de sécurité ou d'un jeton de sécurité, c'est-à-dire un dispositif matériel qui se branche sur le port USB d'un ordinateur. Les smartphones servent souvent de facteur de possession pour l'obtention d'un code à usage unique.
  • Les facteurs inhérents (ce que l'on est) renvoient à la biométrie. Il peut s'agir d'une reconnaissance faciale, d'empreintes digitales, de la rétine ou d'une authentification vocale.

 

Le rôle croissant de l'IA dans l'authentification

Tout le monde s'accorde à dire que l'authentification est importante, mais il faut trouver un juste milieu entre sa fonction de garante de la sécurité et celle de porte d'entrée de votre entreprise. Il est inutile que des employés connus et à faible risque soient soumis à une authentification rigoureuse à chaque fois qu'ils se connectent ; cela serait frustrant et nuirait à la productivité. De même, une procédure de connexion ou d'achat trop lourde côté clients risquerait fort de les inciter à aller voir ailleurs.

C'est là que l'intelligence artificielle (IA) entre en jeu. Nourries par le machine learning et l'IA, les méthodes d'authentification se perfectionnent, s'adaptent à la personne qui se connecte et vérifient si une tentative de connexion ou un comportement en ligne diffère de d'habitude. Lorsque le contexte change, par exemple l'emplacement de l'utilisateur ou son appareil, ou même la sensibilité de l'application à laquelle il accède, une authentification supplémentaire basée sur le risque est déclenchée, connue sous le nom d'authentification renforcée. Si le contexte est en tout point conforme aux attentes, le système requiert une authentification allégée et facilite l'accès pour l'utilisateur.

La solution de ForgeRock basée sur l'IA s'appelle ForgeRock Autonomous Access. Très simplement, Autonomous Access attribue un score de risque à chaque tentative de connexion en fonction d'une série de facteurs. La solution utilise ce score pour appliquer instantanément le niveau de contrainte approprié.

  • Risque faible :  c'est un utilisateur de confiance, il se connecte aux heures prévues en utilisant le même appareil et le même réseau, au même endroit, comme d'habitude. Son authentification est simple et son accès immédiat.
  • Risque moyen :  l'utilisateur, bien que connu et se connectant sur son appareil habituel, se trouve par exemple dans un fuseau horaire différent. Une authentification supplémentaire est nécessaire avant d'accorder l'accès.
  • Risque élevé :  l'utilisateur est très certainement malveillant, éventuellement un bot, et a tenté de se connecter automatiquement à plusieurs reprises sans succès. Les demandes d'accès peuvent être corrigées ou totalement bloquées.

 ForgeRock Autonomous Access est une solution de protection contre les menaces basée sur l'IA qui empêche le piratage de compte et la fraude pendant l'authentification, tout en supprimant les contraintes inutiles pour les utilisateurs légitimes.


 

 

L'authentification multifacteur : c'est la loi aux États-Unis

Dans un effort visant à rendre les États-Unis moins vulnérables aux cybermenaces, l'administration Biden a émis un décret exigeant l'utilisation du MFA par les organismes gouvernementaux américains. Le décret 14028 sur l'amélioration de la cybersécurité de la nation a été signé en mai 2021 et exige que les agences adoptent l'authentification multifacteur dans un délai de 180 jours, déclarant : « Les améliorations progressives ne nous apporteront pas le niveau de sécurité dont nous avons besoin ; au contraire, le gouvernement fédéral doit procéder à des changements radicaux et à des investissements importants afin de défendre les institutions vitales qui sous-tendent le mode de vie américain. »

 

Conclusion : la nécessité de l'authentification multifacteur

L'authentification était autrefois plus simple, à une époque où tous les employés étaient connectés à un réseau et accédaient aux applications et aux ressources à partir d'un datacenter centralisé. Aujourd'hui, les employés se connectent à l'aide de plusieurs appareils, dont beaucoup sont non gérés, et ils se déplacent sans cesse, en se connectant tantôt à la maison, tantôt depuis un Wi-Fi public et souvent dans des lieux divers et variés. Les entreprises doivent offrir à leurs clients, qu'il s'agisse de consommateurs, de patients, de citoyens, d'élèves ou autres, une expérience simple et fluide tout en gérant des identités qui peuvent se compter par millions.

L'utilisation d'un système d'authentification moderne, à base d'intelligence artificielle et de machine learning, permet aux entreprises de fournir le niveau de sécurité nécessaire pour empêcher les intrus d'entrer. Dans le même temps, cela facilite l'accès des utilisateurs légitimes pour préserver la productivité des employés et la satisfaction des clients.

Ressources

Blog

Série IAM 101 : Qu'est-ce que le piratage de compte ?

Page Web

La gestion des identités basée sur l'IA

Page Web

Oubliez les mots de passe, vous n'en aurez plus besoin.

Présentation de la solution

ForgeRock Identity Management