Spoiler du titre du rapport : « L’utilisation de l’authentification forte augmente en raison de la menace de nouveaux risques et d’exigences réglementaires. »
La société de recherche « Javelin Strategy & Research » a publié le rapport « The State of Strong Authentication 2019 » (). Ce rapport indique : quel pourcentage d'entreprises américaines et européennes utilisent des mots de passe (et pourquoi peu de personnes utilisent des mots de passe maintenant) ; pourquoi l’utilisation de l’authentification à deux facteurs basée sur des jetons cryptographiques se développe si rapidement ; Pourquoi les codes à usage unique envoyés par SMS ne sont pas sécurisés.
Toute personne intéressée par le présent, le passé et l’avenir de l’authentification dans les applications d’entreprise et grand public est la bienvenue.
Du traducteur
Hélas, le langage dans lequel ce rapport est rédigé est assez « sec » et formel. Et l’utilisation cinq fois du mot « authentification » dans une phrase courte n’est pas le fruit des mains (ou du cerveau) tordus du traducteur, mais du caprice des auteurs. Lors de la traduction de deux options - pour donner aux lecteurs un texte plus proche de l'original ou plus intéressant, j'ai parfois choisi la première, et parfois la seconde. Mais soyez patients, chers lecteurs, le contenu du rapport en vaut la peine.
Certains éléments sans importance et inutiles de l’histoire ont été supprimés, sinon la majorité n’aurait pas pu lire l’intégralité du texte. Ceux qui souhaitent lire le rapport « dans son intégralité » peuvent le faire dans la langue originale en suivant le lien.
Malheureusement, les auteurs ne font pas toujours attention à la terminologie. Ainsi, les mots de passe à usage unique (One Time Password - OTP) sont parfois appelés « mots de passe », et parfois « codes ». C'est encore pire avec les méthodes d'authentification. Il n’est pas toujours facile pour le lecteur non averti de deviner que « authentification par clés cryptographiques » et « authentification forte » sont la même chose. J'ai essayé d'unifier les termes autant que possible, et dans le rapport lui-même il y a un fragment avec leur description.
Néanmoins, la lecture du rapport est fortement recommandée car il contient des résultats de recherche uniques et des conclusions correctes.
Tous les chiffres et tous les faits sont présentés sans le moindre changement, et si vous n'êtes pas d'accord avec eux, il est préférable de discuter non pas avec le traducteur, mais avec les auteurs du rapport. Et voici mes commentaires (présentés sous forme de citations et marqués dans le texte italien) sont mon jugement de valeur et je me ferai un plaisir d'argumenter sur chacun d'eux (ainsi que sur la qualité de la traduction).
vue d'ensemble
De nos jours, les canaux numériques de communication avec les clients sont plus importants que jamais pour les entreprises. Et au sein de l’entreprise, les communications entre les collaborateurs sont plus que jamais orientées vers le numérique. Et le degré de sécurité de ces interactions dépend de la méthode d’authentification des utilisateurs choisie. Les attaquants utilisent une authentification faible pour pirater massivement les comptes d’utilisateurs. En réponse, les régulateurs renforcent les normes pour obliger les entreprises à mieux protéger les comptes et les données des utilisateurs.
Les menaces liées à l'authentification s'étendent au-delà des applications grand public ; les attaquants peuvent également accéder aux applications exécutées au sein de l'entreprise. Cette opération leur permet de se faire passer pour des utilisateurs de l'entreprise. Les attaquants utilisant des points d'accès avec une authentification faible peuvent voler des données et mener d'autres activités frauduleuses. Heureusement, il existe des mesures pour lutter contre cela. Une authentification forte contribuera à réduire considérablement le risque d'attaque par un attaquant, à la fois sur les applications grand public et sur les systèmes d'entreprise de l'entreprise.
Cette étude examine : comment les entreprises mettent en œuvre l'authentification pour protéger les applications des utilisateurs finaux et les systèmes d'entreprise ; les facteurs qu'ils prennent en compte lors du choix d'une solution d'authentification ; le rôle que joue l’authentification forte dans leurs organisations ; les avantages dont ces organisations bénéficient.
Résumé
principaux résultats
Depuis 2017, le recours à l’authentification forte a fortement augmenté. Face au nombre croissant de vulnérabilités affectant les solutions d'authentification traditionnelles, les organisations renforcent leurs capacités d'authentification avec une authentification forte. Le nombre d’organisations utilisant l’authentification multifacteur cryptographique (MFA) a triplé depuis 2017 pour les applications grand public et a augmenté de près de 50 % pour les applications d’entreprise. La croissance la plus rapide est observée dans l'authentification mobile en raison de la disponibilité croissante de l'authentification biométrique.
Nous voyons ici une illustration du dicton « jusqu’à ce que le tonnerre frappe, un homme ne se signera pas ». Lorsque les experts ont mis en garde contre l'insécurité des mots de passe, personne n'était pressé de mettre en œuvre l'authentification à deux facteurs. Dès que les pirates ont commencé à voler des mots de passe, les gens ont commencé à mettre en œuvre une authentification à deux facteurs.
Il est vrai que les particuliers mettent en œuvre beaucoup plus activement la 2FA. Premièrement, il leur est plus facile de calmer leurs craintes en s’appuyant sur l’authentification biométrique intégrée aux smartphones, qui est en fait très peu fiable. Les organisations doivent dépenser de l'argent pour acheter des jetons et effectuer un travail (en fait très simple) pour les mettre en œuvre. Et deuxièmement, seuls les paresseux n'ont pas écrit sur les fuites de mots de passe provenant de services comme Facebook et Dropbox, mais en aucun cas les DSI de ces organisations ne partageront des histoires sur la façon dont les mots de passe ont été volés (et ce qui s'est passé ensuite) dans les organisations.
Ceux qui n’utilisent pas d’authentification forte sous-estiment les risques qu’ils courent pour leur entreprise et leurs clients. Certaines organisations qui n'utilisent pas actuellement l'authentification forte ont tendance à considérer les identifiants et les mots de passe comme l'une des méthodes d'authentification des utilisateurs les plus efficaces et les plus faciles à utiliser. D'autres ne voient pas la valeur des actifs numériques qu'ils possèdent. Après tout, il ne faut pas oublier que les cybercriminels s’intéressent à toutes les informations sur les consommateurs et les entreprises. Les deux tiers des entreprises qui utilisent uniquement des mots de passe pour authentifier leurs employés le font parce qu'elles estiment que les mots de passe sont suffisamment efficaces pour le type d'informations qu'elles protègent.
Cependant, les mots de passe sont en route vers la tombe. La dépendance aux mots de passe a considérablement diminué au cours de l'année écoulée pour les applications grand public et d'entreprise (de 44 % à 31 % et de 56 % à 47 %, respectivement), à mesure que les organisations utilisent davantage l'AMF traditionnelle et l'authentification forte.
Mais si l’on considère la situation dans son ensemble, les méthodes d’authentification vulnérables prévalent toujours. Pour l'authentification des utilisateurs, environ un quart des organisations utilisent SMS OTP (mot de passe à usage unique) ainsi que des questions de sécurité. En conséquence, des mesures de sécurité supplémentaires doivent être mises en œuvre pour se protéger contre cette vulnérabilité, ce qui augmente les coûts. L'utilisation de méthodes d'authentification beaucoup plus sécurisées, telles que les clés cryptographiques matérielles, est beaucoup moins fréquente, dans environ 5 % des organisations.
L’évolution de l’environnement réglementaire promet d’accélérer l’adoption de l’authentification forte pour les applications grand public. Avec l’introduction de la DSP2, ainsi que les nouvelles règles de protection des données dans l’UE et dans plusieurs États américains comme la Californie, les entreprises ressentent la pression. Près de 70 % des entreprises reconnaissent qu'elles sont confrontées à une forte pression réglementaire pour fournir une authentification forte à leurs clients. Plus de la moitié des entreprises estiment que d’ici quelques années leurs méthodes d’authentification ne suffiront plus à répondre aux normes réglementaires.
La différence entre les approches des législateurs russes et américano-européens en matière de protection des données personnelles des utilisateurs de programmes et de services est clairement visible. Les Russes disent : chers propriétaires de services, faites ce que vous voulez et comme vous voulez, mais si votre administrateur fusionne la base de données, nous vous punirons. On dit à l'étranger : il faut mettre en œuvre un ensemble de mesures qui ne permettra pas vider la base. C'est pourquoi des exigences en matière d'authentification stricte à deux facteurs y sont mises en œuvre.
Certes, il est loin d’être certain que notre machine législative ne reviendra pas un jour à la raison et ne tiendra pas compte de l’expérience occidentale. Il s’avère ensuite que tout le monde doit mettre en œuvre de toute urgence le 2FA, qui est conforme aux normes cryptographiques russes.
La mise en place d'un cadre d'authentification solide permet aux entreprises de ne plus se concentrer sur le respect des exigences réglementaires mais sur la satisfaction des besoins des clients. Pour les organisations qui utilisent encore de simples mots de passe ou reçoivent des codes par SMS, le facteur le plus important lors du choix d'une méthode d'authentification sera le respect des exigences réglementaires. Mais les entreprises qui utilisent déjà l’authentification forte peuvent se concentrer sur le choix des méthodes d’authentification qui accroissent la fidélité des clients.
Lors du choix d'une méthode d'authentification d'entreprise au sein d'une entreprise, les exigences réglementaires ne sont plus un facteur important. Dans ce cas, la facilité d’intégration (32 %) et le coût (26 %) sont bien plus importants.
À l’ère du phishing, les attaquants peuvent utiliser la messagerie électronique d’entreprise pour frauder pour accéder frauduleusement aux données, aux comptes (avec les droits d'accès appropriés), et même pour convaincre les employés d'effectuer un transfert d'argent sur son compte. Par conséquent, les comptes de messagerie et de portail d’entreprise doivent être particulièrement bien protégés.
Google a renforcé sa sécurité en mettant en place une authentification forte. Il y a plus de deux ans, Google a publié un rapport sur la mise en œuvre d'une authentification à deux facteurs basée sur des clés de sécurité cryptographiques utilisant la norme FIDO U2F, faisant état de résultats impressionnants. Selon l’entreprise, aucune attaque de phishing n’a été menée contre plus de 85 000 employés.
Recommandations
Mettez en œuvre une authentification forte pour les applications mobiles et en ligne. L'authentification multifacteur basée sur des clés cryptographiques offre une bien meilleure protection contre le piratage que les méthodes MFA traditionnelles. De plus, l'utilisation de clés cryptographiques est beaucoup plus pratique car il n'est pas nécessaire d'utiliser et de transférer des informations supplémentaires - mots de passe, mots de passe à usage unique ou données biométriques de l'appareil de l'utilisateur vers le serveur d'authentification. De plus, la normalisation des protocoles d'authentification facilite grandement la mise en œuvre de nouvelles méthodes d'authentification à mesure qu'elles deviennent disponibles, réduisant ainsi les coûts de mise en œuvre et protégeant contre les schémas frauduleux plus sophistiqués.
Préparez-vous à la disparition des mots de passe à usage unique (OTP). Les vulnérabilités inhérentes aux OTP deviennent de plus en plus évidentes à mesure que les cybercriminels utilisent l'ingénierie sociale, le clonage de smartphones et les logiciels malveillants pour compromettre ces moyens d'authentification. Et si les OTP présentent dans certains cas certains avantages, alors uniquement du point de vue de la disponibilité universelle pour tous les utilisateurs, mais pas du point de vue de la sécurité.
Il est impossible de ne pas remarquer que recevoir des codes via SMS ou notifications Push, ainsi que générer des codes à l'aide de programmes pour smartphones, est l'utilisation de ces mêmes mots de passe à usage unique (OTP) pour lesquels on nous demande de nous préparer au déclin. D'un point de vue technique, la solution est très correcte, car il s'agit d'un fraudeur rare qui n'essaie pas de connaître le mot de passe à usage unique d'un utilisateur crédule. Mais je pense que les fabricants de tels systèmes s’accrocheront jusqu’au bout à une technologie en voie de disparition.
Utilisez l'authentification forte comme outil marketing pour accroître la confiance des clients. L’authentification forte peut faire bien plus que simplement améliorer la sécurité réelle de votre entreprise. Informer les clients que votre entreprise utilise une authentification forte peut renforcer la perception du public quant à la sécurité de cette entreprise, un facteur important lorsqu'il existe une demande importante des clients pour des méthodes d'authentification forte.
Réalisez un inventaire approfondi et une évaluation de la criticité des données de l’entreprise et protégez-les en fonction de leur importance. Même les données à faible risque telles que les coordonnées des clients (non, vraiment, le rapport dit "faible risque", c'est très étrange qu'ils sous-estiment l'importance de cette information), peut apporter une valeur significative aux fraudeurs et causer des problèmes à l'entreprise.
Utilisez une authentification d'entreprise forte. Un certain nombre de systèmes constituent les cibles les plus attractives pour les criminels. Il s'agit notamment de systèmes internes et connectés à Internet tels qu'un programme de comptabilité ou un entrepôt de données d'entreprise. Une authentification forte empêche les attaquants d'obtenir un accès non autorisé et permet également de déterminer avec précision quel employé a commis l'activité malveillante.
Qu’est-ce que l’authentification forte ?
Lors de l'utilisation d'une authentification forte, plusieurs méthodes ou facteurs sont utilisés pour vérifier l'authenticité de l'utilisateur :
- Facteur de connaissance : secret partagé entre l'utilisateur et le sujet authentifié de l'utilisateur (tel que mots de passe, réponses aux questions de sécurité, etc.)
- Facteur de propriété : un appareil que seul l'utilisateur possède (par exemple, un appareil mobile, une clé cryptographique, etc.)
- Facteur d'intégrité : caractéristiques physiques (souvent biométriques) de l'utilisateur (par exemple, empreinte digitale, motif de l'iris, voix, comportement, etc.)
La nécessité de pirater plusieurs facteurs augmente considérablement la probabilité d'échec des attaquants, car contourner ou tromper divers facteurs nécessite l'utilisation de plusieurs types de tactiques de piratage, pour chaque facteur séparément.
Par exemple, avec le 2FA « mot de passe + smartphone », un attaquant peut procéder à une authentification en regardant le mot de passe de l’utilisateur et en faisant une copie exacte du logiciel de son smartphone. Et c'est bien plus difficile que de simplement voler un mot de passe.
Mais si un mot de passe et un jeton cryptographique sont utilisés pour 2FA, alors l'option de copie ne fonctionne pas ici - il est impossible de dupliquer le jeton. Le fraudeur devra voler furtivement le jeton à l'utilisateur. Si l’utilisateur remarque la perte de temps et en informe l’administrateur, le jeton sera bloqué et les efforts du fraudeur seront vains. C'est pourquoi le facteur de propriété nécessite l'utilisation de dispositifs sécurisés spécialisés (jetons) plutôt que de dispositifs à usage général (smartphones).
L’utilisation de ces trois facteurs rendra cette méthode d’authentification assez coûteuse à mettre en œuvre et peu pratique à utiliser. Par conséquent, deux facteurs sur trois sont généralement utilisés.
Les principes de l'authentification à deux facteurs sont décrits plus en détail , dans le bloc « Comment fonctionne l'authentification à deux facteurs ».
Il est important de noter qu’au moins un des facteurs d’authentification utilisés dans l’authentification forte doit utiliser une cryptographie à clé publique.
L'authentification forte offre une protection bien plus solide que l'authentification à facteur unique basée sur des mots de passe classiques et la MFA traditionnelle. Les mots de passe peuvent être espionnés ou interceptés à l'aide d'enregistreurs de frappe, de sites de phishing ou d'attaques d'ingénierie sociale (où la victime est amenée à révéler son mot de passe). De plus, le propriétaire du mot de passe ne saura rien du vol. Les MFA traditionnels (y compris les codes OTP, liés à un smartphone ou à une carte SIM) peuvent également être piratés assez facilement, car ils ne reposent pas sur une cryptographie à clé publique (À propos, il existe de nombreux exemples où, en utilisant les mêmes techniques d'ingénierie sociale, des escrocs ont persuadé les utilisateurs de leur donner un mot de passe à usage unique.).
Heureusement, l’utilisation de l’authentification forte et de la MFA traditionnelle gagne du terrain dans les applications grand public et d’entreprise depuis l’année dernière. Le recours à l’authentification forte dans les applications grand public s’est développé particulièrement rapidement. Si en 2017 seulement 5 % des entreprises l’utilisaient, en 2018 c’était déjà trois fois plus – 16 %. Cela peut s’expliquer par la disponibilité accrue de jetons prenant en charge les algorithmes de cryptographie à clé publique (PKC). En outre, la pression accrue des régulateurs européens suite à l'adoption de nouvelles règles de protection des données telles que la PSD2 et le RGPD a eu un impact important même en dehors de l'Europe (y compris en Russie).
Examinons ces chiffres de plus près. Comme nous pouvons le constater, le pourcentage de particuliers utilisant l’authentification multifacteur a augmenté de 11 % au cours de l’année. Et cela s'est clairement produit au détriment des amateurs de mots de passe, puisque le nombre de ceux qui croient en la sécurité des notifications Push, des SMS et de la biométrie n'a pas changé.
Mais avec l’authentification à deux facteurs pour une utilisation en entreprise, les choses ne vont pas si bien. Premièrement, selon le rapport, seuls 5 % des employés sont passés de l’authentification par mot de passe aux jetons. Et deuxièmement, le nombre de ceux qui utilisent des options MFA alternatives dans un environnement d'entreprise a augmenté de 4 %.
Je vais essayer de jouer à l’analyste et de donner mon interprétation. Le smartphone est au centre du monde numérique des utilisateurs individuels. Il n'est donc pas étonnant que la majorité utilise les capacités que l'appareil leur offre - authentification biométrique, notifications SMS et Push, ainsi que mots de passe à usage unique générés par les applications sur le smartphone lui-même. Les gens ne pensent généralement pas à la sécurité et à la fiabilité lorsqu’ils utilisent les outils auxquels ils sont habitués.
C’est pourquoi le pourcentage d’utilisateurs de facteurs d’authentification primitifs « traditionnels » reste inchangé. Mais ceux qui ont déjà utilisé des mots de passe comprennent combien ils risquent et, lorsqu'ils choisissent un nouveau facteur d'authentification, ils optent pour l'option la plus récente et la plus sûre : un jeton cryptographique.
Quant au marché des entreprises, il est important de comprendre dans quel système l'authentification est effectuée. Si la connexion à un domaine Windows est implémentée, des jetons cryptographiques sont utilisés. Les possibilités de les utiliser pour 2FA sont déjà intégrées à Windows et Linux, mais les options alternatives sont longues et difficiles à mettre en œuvre. Voilà pour la migration de 5% des mots de passe vers les tokens.
Et la mise en œuvre du 2FA dans un système d'information d'entreprise dépend beaucoup des qualifications des développeurs. Et il est beaucoup plus facile pour les développeurs d'utiliser des modules prêts à l'emploi pour générer des mots de passe à usage unique que de comprendre le fonctionnement des algorithmes cryptographiques. Et par conséquent, même les applications extrêmement critiques en matière de sécurité, telles que les systèmes d’authentification unique ou de gestion des accès privilégiés, utilisent OTP comme deuxième facteur.
De nombreuses vulnérabilités dans les méthodes d'authentification traditionnelles
Alors que de nombreuses organisations restent dépendantes des anciens systèmes à facteur unique, les vulnérabilités de l'authentification multifacteur traditionnelle deviennent de plus en plus évidentes. Les mots de passe à usage unique, généralement de six à huit caractères, envoyés par SMS, restent la forme d'authentification la plus courante (outre le facteur mot de passe, bien sûr). Et lorsque les mots « authentification à deux facteurs » ou « vérification en deux étapes » sont évoqués dans la presse populaire, ils font presque toujours référence à une authentification par mot de passe à usage unique par SMS.
Ici, l'auteur se trompe un peu. La fourniture de mots de passe à usage unique par SMS n'a jamais été une authentification à deux facteurs. Il s'agit dans sa forme la plus pure de la deuxième étape de l'authentification en deux étapes, dont la première étape consiste à saisir votre identifiant et votre mot de passe.
En 2016, le National Institute of Standards and Technology (NIST) a mis à jour ses règles d'authentification pour éliminer l'utilisation de mots de passe à usage unique envoyés par SMS. Cependant, ces règles ont été considérablement assouplies à la suite des protestations de l'industrie.
Alors, suivons l'intrigue. Le régulateur américain reconnaît à juste titre que les technologies obsolètes ne sont pas capables d'assurer la sécurité des utilisateurs et introduit de nouvelles normes. Normes conçues pour protéger les utilisateurs d’applications en ligne et mobiles (y compris bancaires). L’industrie calcule combien d’argent elle devra dépenser pour acheter des jetons cryptographiques véritablement fiables, repenser les applications, déployer une infrastructure à clé publique et « se relève sur ses pattes arrière ». D'une part, les utilisateurs étaient convaincus de la fiabilité des mots de passe à usage unique et, d'autre part, il y avait des attaques contre le NIST. En conséquence, la norme a été assouplie et le nombre de piratages et de vols de mots de passe (et d'argent provenant d'applications bancaires) a fortement augmenté. Mais l’industrie n’a pas eu à débourser d’argent.
Depuis lors, les faiblesses inhérentes au SMS OTP sont devenues plus évidentes. Les fraudeurs utilisent diverses méthodes pour compromettre les messages SMS :
- Duplication de carte SIM. Les attaquants créent une copie de la carte SIM (avec l'aide des employés de l'opérateur mobile, ou de manière indépendante, à l'aide de logiciels et de matériels spéciaux). En conséquence, l'attaquant reçoit un SMS avec un mot de passe à usage unique. Dans un cas particulièrement célèbre, des pirates ont même réussi à compromettre le compte AT&T de l'investisseur en crypto-monnaie Michael Turpin et à voler près de 24 millions de dollars en crypto-monnaies. En conséquence, Turpin a déclaré qu'AT&T était en faute en raison de la faiblesse des mesures de vérification qui ont conduit à la duplication de la carte SIM.
Une logique étonnante. Donc c'est vraiment uniquement la faute d'AT&T ? Non, c'est sans doute la faute de l'opérateur mobile si les vendeurs du magasin de communication ont délivré un duplicata de carte SIM. Qu’en est-il du système d’authentification des échanges de cryptomonnaies ? Pourquoi n’ont-ils pas utilisé de jetons cryptographiques puissants ? Était-ce dommage de dépenser de l’argent pour la mise en œuvre ? Michael lui-même n'est-il pas responsable ? Pourquoi n'a-t-il pas insisté pour modifier le mécanisme d'authentification ou utiliser uniquement les échanges qui mettent en œuvre une authentification à deux facteurs basée sur des jetons cryptographiques ?
L'introduction de méthodes d'authentification véritablement fiables est retardée précisément parce que les utilisateurs font preuve d'une incroyable négligence avant le piratage, et qu'ils imputent ensuite leurs problèmes à n'importe qui et à n'importe quoi d'autre que les technologies d'authentification anciennes et « qui fuient ».
- Logiciel malveillant. L'une des premières fonctions des logiciels malveillants mobiles consistait à intercepter et à transmettre des messages texte aux attaquants. En outre, les attaques de type man-in-the-browser et man-in-the-middle peuvent intercepter les mots de passe à usage unique lorsqu'ils sont saisis sur des ordinateurs portables ou des appareils de bureau infectés.
Lorsque l'application Sberbank sur votre smartphone fait clignoter une icône verte dans la barre d'état, elle recherche également des « logiciels malveillants » sur votre téléphone. L'objectif de cet événement est de transformer l'environnement d'exécution non fiable d'un smartphone classique en un environnement fiable, du moins d'une certaine manière.
À propos, un smartphone, en tant qu'appareil totalement non fiable sur lequel tout peut être fait, est une autre raison de l'utiliser pour l'authentification. jetons matériels uniquement, qui sont protégés et exempts de virus et de chevaux de Troie. - Ingénierie sociale. Lorsque les fraudeurs savent qu'une victime dispose d'OTP activés par SMS, ils peuvent la contacter directement, en se faisant passer pour une organisation de confiance telle que sa banque ou sa coopérative de crédit, pour la tromper et lui faire fournir le code qu'elle vient de recevoir.
J'ai personnellement été confronté à ce type de fraude à plusieurs reprises, par exemple lorsque j'essayais de vendre quelque chose sur un marché aux puces en ligne populaire. Je me suis moi-même moqué de l’escroc qui essayait de me tromper à ma guise. Mais hélas, je lis régulièrement dans l’actualité qu’une autre victime d’escrocs « n’a pas réfléchi », a donné le code de confirmation et a perdu une grosse somme. Et tout cela est dû au fait que la banque ne veut tout simplement pas s'occuper de la mise en œuvre de jetons cryptographiques dans ses applications. Après tout, si quelque chose arrive, les clients « sont eux-mêmes responsables ».
Bien que d'autres méthodes de livraison OTP puissent atténuer certaines des vulnérabilités de cette méthode d'authentification, d'autres vulnérabilités demeurent. Les applications de génération de code autonomes constituent la meilleure protection contre les écoutes clandestines, car même les logiciels malveillants peuvent difficilement interagir directement avec le générateur de code (sérieusement? L'auteur du rapport a-t-il oublié la télécommande ?), mais les OTP peuvent toujours être interceptés lorsqu'ils sont saisis dans le navigateur (par exemple en utilisant un enregistreur de frappe), via une application mobile piratée ; et peut également être obtenu directement auprès de l'utilisateur à l'aide de l'ingénierie sociale.
Utiliser plusieurs outils d'évaluation des risques tels que la reconnaissance des appareils (détection des tentatives d'exécution de transactions à partir d'appareils n'appartenant pas à un utilisateur légal), géolocalisation (un utilisateur qui vient d'être à Moscou tente d'effectuer une opération depuis Novossibirsk) et l'analyse comportementale sont importantes pour remédier aux vulnérabilités, mais aucune de ces solutions n'est une panacée. Pour chaque situation et type de données, il est nécessaire d’évaluer soigneusement les risques et de choisir quelle technologie d’authentification doit être utilisée.
Aucune solution d'authentification n'est une panacée
Figure 2. Tableau des options d'authentification
| Authentification | facteur | description | Principales vulnérabilités |
| Mot de passe ou code PIN | Connaissance | Valeur fixe, qui peut inclure des lettres, des chiffres et un certain nombre d'autres caractères | Peut être intercepté, espionné, volé, récupéré ou piraté |
| Authentification basée sur les connaissances | Connaissance | Questions dont les réponses ne sont connues que par un utilisateur légal | Peut être intercepté, récupéré, obtenu à l'aide de méthodes d'ingénierie sociale |
| OTP matériel () | Possession | Un appareil spécial qui génère des mots de passe à usage unique | Le code peut être intercepté et répété, ou l'appareil peut être volé |
| OTP logiciels | Possession | Une application (mobile, accessible via un navigateur, ou envoyant des codes par e-mail) qui génère des mots de passe à usage unique | Le code peut être intercepté et répété, ou l'appareil peut être volé |
| SMS OTP | Possession | Mot de passe à usage unique délivré par SMS | Le code peut être intercepté et répété, ou le smartphone ou la carte SIM peut être volé, ou la carte SIM peut être dupliquée |
| Carte à puce () | Possession | Une carte contenant une puce cryptographique et une mémoire de clé sécurisée qui utilise une infrastructure à clé publique pour l'authentification | Peut être physiquement volé (mais un attaquant ne pourra pas utiliser l'appareil sans connaître le code PIN ; en cas de plusieurs tentatives de saisie incorrectes, l'appareil sera bloqué) |
| Clés de sécurité - jetons (, ) | Possession | Un périphérique USB contenant une puce cryptographique et une mémoire de clé sécurisée qui utilise une infrastructure à clé publique pour l'authentification | Peut être physiquement volé (mais un attaquant ne pourra pas utiliser l'appareil sans connaître le code PIN ; en cas de plusieurs tentatives de saisie incorrectes, l'appareil sera bloqué) |
| Lien vers un appareil | Possession | Processus qui crée un profil, souvent à l'aide de JavaScript, ou en utilisant des marqueurs tels que des cookies et des objets partagés Flash pour garantir qu'un appareil spécifique est utilisé. | Les tokens peuvent être volés (copiés), et les caractéristiques d'un appareil légal peuvent être imitées par un attaquant sur son appareil |
| Comportement | Inhérence | Analyse la manière dont l'utilisateur interagit avec un appareil ou un programme | Le comportement peut être imité |
| Empreintes | Inhérence | Les empreintes digitales stockées sont comparées à celles capturées optiquement ou électroniquement | L'image peut être volée et utilisée pour l'authentification |
| Scanner oculaire | Inhérence | Compare les caractéristiques des yeux, telles que le motif de l'iris, avec les nouveaux balayages optiques | L'image peut être volée et utilisée pour l'authentification |
| Reconnaissance de visage | Inhérence | Les caractéristiques du visage sont comparées aux nouveaux scans optiques | L'image peut être volée et utilisée pour l'authentification |
| Reconnaissance vocale | Inhérence | Les caractéristiques de l'échantillon vocal enregistré sont comparées à de nouveaux échantillons | L'enregistrement peut être volé et utilisé pour l'authentification, ou émulé |
Dans la deuxième partie de la publication, les choses les plus délicieuses nous attendent - des chiffres et des faits, sur lesquels reposent les conclusions et recommandations données dans la première partie. L'authentification dans les applications utilisateur et dans les systèmes d'entreprise sera abordée séparément.
A bientôt!
Source: habr.com