Les deux grandes préoccupations des utilisateurs sont la sécurité et l'anonymat. Aujourd'hui, nous allons nous concentrer sur le premier, où l'un des éléments clés est d'avoir un mot de passe fort. De plus, il devrait être renforcé par une authentification multi-facteurs ou MFA. Ainsi, dans le cas où notre mot de passe serait piraté, ils ne pourront pas se connecter car il leur faudrait une deuxième étape, qui consiste généralement à saisir un code que nous avons sur notre smartphone. Cependant, si cette façon de travailler n'est pas bien mise en œuvre, elle peut avoir ses défauts. Dans cet article, nous verrons comment l'utilisation de plusieurs facteurs d'authentification crée un faux sentiment de sécurité.
Qu'est-ce que le MFA ?
MFA (Multiple Factor Authentication) permet aux utilisateurs de protéger leurs comptes en ligne en utilisant différentes méthodes d'authentification, comme un mot de passe, un code PIN qui arrive par SMS sur le mobile, un code temporaire à usage unique généré par leur smartphone et même une clé USB. de sécurité. Aujourd'hui, chacun d'entre nous dans email comptes et dans de nombreux sites en ligne tels que PayPal, Amazon et les réseaux sociaux, nous utilisons plusieurs facteurs d'authentification, principalement le nom d'utilisateur et le mot de passe pour accéder, et plus tard un deuxième facteur d'authentification qui est généralement un code numérique généré par notre smartphone ou un physique Clé USB.
L'incorporation de MFA à tous les comptes en ligne a été une grande avancée contre les attaques, pour le rendre beaucoup plus compliqué pour les cybercriminels, car ils devront non seulement violer notre mot de passe de service, mais aussi mettre la main sur le deuxième facteur d'authentification que nous avons configuré. Selon le compte en ligne que nous configurons, une bonne option serait d'avoir une clé USB que nous seuls avons physiquement, de sorte que
Nous sommes toujours exposés aux attaques contre les identifiants
Malgré l'adoption des réseaux Zero Trust et Zero Trust, de nombreuses entreprises sont toujours exposées à des attaques d'identifiants pour deux raisons :
- Méthodes d'authentification multifacteur (MFA) insuffisantes.
- Le manque d'urgence après une attaque potentielle ou une violation de données.
Dans un rapport récemment publié, il a été constaté que plus de la moitié des utilisateurs dont les comptes ont été piratés n'ont pas amélioré leurs contrôles d'authentification après l'attaque. L'utilisation de MFA crée un faux sentiment de sécurité. D'un autre côté, il dit qu'il y a une prise de conscience croissante du dépassement de la MFA et des avantages généraux de l'authentification sans mot de passe, alors que les organisations continuent de mettre en œuvre leurs programmes de confiance zéro.
Les entreprises ne se protègent pas bien
Un point saillant de ce rapport a révélé que 89% des personnes interrogées ont déclaré avoir vécu une Attaque d'hameçonnage en 2021. D'autre part, 34 % ont subi un credential stuffing, soit une augmentation de 17 % par rapport à l'année précédente.
Les autres données liées aux attaques contre les petites et moyennes entreprises étaient :
- L'augmentation des attaques contre les télétravailleurs, après tout, la sécurité du réseau domestique d'un travailleur lorsqu'il est à domicile est nettement inférieure à celle lorsqu'il est physiquement dans l'entreprise, car il ne dispose pas de technologies de sécurité avancées telles que l'IDS ou l'IPS, entre autres fondamentaux outils.
- Plus de la moitié des travailleurs déclarent ne pas avoir de mot de passe, ils utilisent des méthodes telles que les SMS, qui ne sont pas du tout sécurisées, bien qu'un grand pourcentage utilise un mot de passe à usage unique (One Time Password).
Le modèle de sécurité Zero-Trust et l'utilisation de MFA se multiplient. Cependant, cela ne signifie pas qu'il existe certaines réticences à sa mise en œuvre. Pour cette raison, ils accèdent à la MFA traditionnelle avec un mot de passe comme celui-ci :
- La moitié expliquent avoir eu une mauvaise expérience utilisateur, donc ils n'aiment pas cette méthode d'authentification.
- Manque d'interopérabilité avec les différents services et fabricants, et rend difficile l'intégration du système dans l'entreprise.
- Les solutions d'entreprise sont coûteuses et de nombreuses petites entreprises ne peuvent pas se le permettre.
Par conséquent, de nombreuses personnes interrogées considéraient l'utilisation de l'authentification multifacteur avec mot de passe comme un fardeau plutôt qu'un avantage, créant un impact plus important sur la productivité globale. Plus de la moitié des personnes interrogées n'avaient pas pu accéder à des informations professionnelles critiques car elles ne se souvenaient pas d'un mot de passe.
La nécessité d'utiliser des méthodes sans mot de passe
Alors que le travail à distance devient une option permanente, de plus en plus d'entreprises optent pour l'authentification MFA sans mot de passe. À cet égard, 82 % des personnes interrogées croient au renforcement de leur programme de sécurité d'authentification avec l'adoption du MFA sans mot de passe.
Par rapport à l'utilisation de la MFA traditionnelle, l'amélioration de l'expérience utilisateur est considérée comme le deuxième facteur le plus important à 67 %. De plus, 40 % des personnes interrogées pensent que l'utilisation de l'authentification MFA sans mot de passe contribue à la conformité réglementaire.
