Les mots de passe restent un risque pour la cybersécurité. Une alternative plus sûre est l'authentification sans mot de passe à l'aide de données biométriques ou de jetons.
Presque tous les services en ligne nécessitent des données d'accès composées d'un nom d'utilisateur et d'un mot de passe. En conséquence, une longue liste de combinaisons s'accumule en très peu de temps - une personne moyenne propose environ 100 mots de passe différents, comme le montre une étude en cours. Afin de ne pas perdre le fil ici, beaucoup utilisent un seul et même mot de passe pour plusieurs comptes. Ceci est particulièrement fatal lorsque le mot de passe est un mot de passe standard, facile à deviner.
La gestion des mots de passe comme vulnérabilité critique pour les entreprises
Pour les entreprises en particulier, une mauvaise gestion des mots de passe par leurs employés est l'un des plus grands facteurs de risque pour la sécurité des données, comme le confirme une fois de plus le rapport actuel de Mimecast "State of Email Security". Cela comprend l'utilisation fréquente de mots de passe standard, l'utilisation du même mot de passe pour plusieurs applications ou simplement le stockage physique des mots de passe dans un endroit également accessible aux autres - pensez ici au post-it au bord de l'écran où les données d'accès est écrit sont notés pour le PC. Une alternative de plus en plus populaire est donc les méthodes d'authentification sans mot de passe. L'identité de l'utilisateur n'est pas vérifiée à l'aide de données d'accès fixes, mais à l'aide d'autres méthodes.
Authentification par biométrie, token ou notifications push
L'utilisation d'appareils dotés de caméras et d'écrans tactiles permet une identification basée sur la biométrie, en scannant l'empreinte digitale ou le visage de l'utilisateur, ou par correspondance vocale. Cependant, étant donné la prévalence croissante des deep fakes, les inquiétudes concernant la sécurité de cette méthode sont actuellement croissantes. Même si ceux-ci peuvent tromper un utilisateur humain, rien ne prouve que les contrefaçons puissent surmonter les mécanismes de protection biométrique.
Une autre méthode est l'authentification multifacteur (MFA) via un jeton d'authentification, qui génère un code à usage unique, ou une application d'authentification connectée à un appareil ou à un compte de messagerie préalablement vérifié. Bien sûr, cette méthode n'est sans mot de passe que si aucun des facteurs n'est basé sur un mot de passe. De même, l'inscription fonctionne via une notification push, qui est envoyée à un compte de messagerie ou à un appareil préalablement vérifié et invite l'utilisateur à autoriser une inscription au lieu d'entrer un code à usage unique.
La technologie et le budget doivent jouer leur rôle
Cependant, une application complète de ces méthodes d'authentification sans mot de passe est encore loin. Une récente enquête menée par le partenaire de Mimecast, Okta, a révélé qu'un peu moins d'un utilisateur sur cinq de la plate-forme a intégré une interface de programme d'application (API) pour l'authentification sans mot de passe, mais cela représente tout de même une amélioration par rapport aux 11 % d'il y a deux ans. Les entreprises sont souvent aux prises avec les obstacles qui doivent être surmontés lors de l'introduction d'un tel système.
Défis de mise en œuvre
Il existe de nombreux obstacles lors de la mise en œuvre d'une méthode d'authentification sans mot de passe. La direction peut craindre que l'utilisation de méthodes basées sur la MFA ait un impact négatif sur l'expérience des employés et ralentisse ou entrave les opérations quotidiennes. Autre défi, le volet technique : les différents systèmes utilisés ne fonctionnent souvent pas avec une méthode d'authentification commune. Par exemple, les plates-formes cloud ont souvent leurs propres systèmes de sécurité et de vérification d'identité concurrents qui ne se synchronisent pas facilement avec les serveurs internes de l'entreprise.
Enfin, l'utilisation des ressources lors d'un changement de système joue également un rôle décisif - après tout, les changements coûtent du temps et de l'argent. Les organisations doivent revoir leur infrastructure existante et leurs politiques d'accès, les utilisateurs doivent être (re)vérifiés et leurs facteurs d'authentification configurés.
Pas à pas vers la solution sans mot de passe
Pour éviter le stress d'un passage massif à l'accès sans mot de passe, les organisations doivent procéder une étape à la fois. Premièrement, les entreprises doivent évaluer le statut de risque de leurs données. Cela leur permet de hiérarchiser les systèmes pour la transition et de conserver initialement un accès basé sur un mot de passe pour les ressources moins sensibles.
L'application de nouvelles politiques d'accès est également plus facile lorsque le contexte de l'activité de l'utilisateur est pris en compte lors de la décision de renforcer les contrôles d'identité. Si un employé se connecte soudainement à partir d'un serveur ou d'un emplacement inconnu, un système automatisé de gestion des identités et des accès (IAM) peut déclencher une vérification supplémentaire. L'authentification sans mot de passe est également plus facile à appliquer si l'organisation a déjà une approche zéro confiance sur le réseau.
Plus sur Mimecast.com