La demande croissante d'authentification forte
Publié: 2020-02-13
La demande d'une meilleure façon de protéger les données des organisations augmente.
Le marché de la gestion des identités et des accès (IAM) continue de croître de manière significative, les organismes de recherche prévoyant un taux de croissance annuel compris entre 13 % et 26 %.
Il n'a jamais été aussi important pour les responsables informatiques d'organisations de toutes formes et tailles de protéger les données qu'ils détiennent et pourtant de nombreux employés peuvent toujours accéder à des données sécurisées avec un mot de passe.
Alors que les données détenues par les entreprises augmentent de manière exponentielle, ainsi que les lieux de travail et les appareils que nous utilisons en tant qu'employés, il est essentiel que les organisations aient les solutions en place pour s'assurer que les bonnes personnes ont accès aux bonnes données.
Mot de passe : pR0tEct3D
Mais nous utilisons des mots de passe pour tout. Nous sommes protégés, n'est-ce pas ?
Les mots de passe, même les mots de passe à usage unique (OTP), sont des méthodes d'authentification faibles et ne sont pas sécurisés. Les cybercriminels et les pirates informatiques des États-nations disposent de nombreuses escroqueries par hameçonnage, d'ingénierie sociale et de moyens de force brute pour voler des données à des organisations utilisant une authentification faible des employés.
En tant qu'organisation, nous défendons l'authentification forte comme standard. Mais beaucoup sont encore convaincus que l'authentification forte est réservée aux grandes entreprises et aux gros budgets.
Ce n'est pas le cas, et nous nous efforçons de faire prendre conscience que l'authentification forte est réalisable pour les organisations de toutes tailles.
Pyramide d'authentification
Vous pouvez imaginer les hiérarchies de gestion de l'identité et des accès numériques plutôt comme une pyramide, mais plus comme la hiérarchie des besoins de Maslow que Khufu et Gizeh.
Cette pyramide offre un moyen simple de visualiser comment la tranche d'authentification du paysage IAM se décompose et catégorise les technologies actuellement disponibles sur le marché.
Il existe d'innombrables fournisseurs d'authentification multifacteur, mais savoir où ils se situent tous et quels sont les avantages et les inconvénients de leur technologie n'est pas une mince affaire.
À la base de la pyramide se trouve la méthode d'authentification à faible sécurité ; les mots de passe, à l'origine de plus de 80 % des violations de données, intrinsèquement peu sûrs, pénibles pour les utilisateurs finaux et tout aussi frustrants pour les équipes informatiques.
Ensuite, nous avons les mots de passe à usage unique (OTP). Les OTP offrent une meilleure protection que les mots de passe seuls, mais ils restent vulnérables par rapport à d'autres méthodes d'authentification plus puissantes. Un OTP par SMS par exemple, généré par un serveur et envoyé à un appareil mobile, nécessite qu'un utilisateur final entre un code court reçu par SMS pour vérifier son identité auprès du serveur d'authentification. La faiblesse ici vient du fait que le SMS n'est pas un canal de communication sécurisé ; les applications malveillantes peuvent intercepter et transmettre un SMS à un pirate informatique, il n'y a pas de lien direct entre les informations d'identification et l'identité de l'utilisateur et l'expérience utilisateur est médiocre. Les jetons OTP sont plus robustes, s'appuyant souvent sur la cryptographie symétrique, mais cela repose généralement sur une clé secrète partagée qui peut être compromise.
En progressant plus haut dans la pyramide, nous avons la biométrie. Il y a une perception que si seulement je peux accéder à ces données avec mon empreinte digitale, elles doivent être sécurisées, n'est-ce pas ? Pas assez.
Alors que la biométrie est prise en charge sur une vaste gamme d'appareils et offre une bonne expérience utilisateur, la biométrie centralisée peut être compromise. Il existe un risque de fausses correspondances, selon le matériel et les logiciels utilisés et une biométrie reste un facteur unique d'authentification. Pour les politiques informatiques exigeant des environnements de haute sécurité, la sécurité de la plate-forme d'un dispositif biométrique n'est souvent pas à la hauteur requise.
Les notifications push offrent un niveau de sécurité d'authentification plus élevé - contrairement aux SMS, le mécanisme push est généralement crypté et donc résistant aux attaques. Cela nécessite un certain investissement - généralement dans un serveur d'authentification et il est important de prendre en compte la sécurité du déclencheur du mécanisme d'authentification. Bien que la notification push soit sécurisée, le mécanisme d'authentification déclenché par celle-ci peut être moins sécurisé.
Faster Identity Online, mieux connu sous le nom de FIDO, est presque au sommet de la pyramide de l'authentification. Basé sur des normes et utilisant la cryptographie à clé privée/publique, il s'agit d'une méthode d'authentification en plein essor. Le code PIN, les empreintes digitales et l'identification faciale sont tous pris en charge par FIDO et l'expérience utilisateur est donc bonne. Les limites de FIDO sont qu'il s'agit d'une identité numérique sécurisée mais pas d'une identité numérique liée à la personne. Comme la clé publique n'est pas directement liée à l'identité de l'utilisateur, il est difficile de prouver la non-répudiation. Cela signifie que l'élément d'authentification est limité à la connexion - un utilisateur ne peut pas signer ou chiffrer en toute sécurité sans solutions supplémentaires. L'investissement dans un serveur d'authentification est également nécessaire pour FIDO.
Tout en haut de la pyramide d'authentification se trouve l'infrastructure à clé publique (PKI). PKI combine une clé privée avec une clé publique et un certificat émis par une autorité de confiance. Basé sur la cryptographie, utilisant la cryptographie asymétrique, une fois qu'un utilisateur est inscrit, un certificat lie une clé au ou aux appareils de cet individu à partir desquels il s'authentifie à l'aide de l'authentification multifacteur - quelque chose qu'il possède (le ou les appareils authentifiés plus quelque chose qu'il sait ( un code PIN) et/ou quelque chose qu'ils sont (biométrique).
Cette méthode d'authentification multifacteur (MFA) est pilotée par les propres politiques de sécurité d'une organisation et la PKI prend donc en charge le code PIN, les empreintes digitales et l'identification faciale. PKI lie une clé à une identité d'utilisateur et permet ainsi la non-répudiation, permettant l'authentification et l'autorisation via la signature numérique et les utilisateurs à chiffrer. De plus, les transactions peuvent être vérifiées par n'importe quel système, car la clé publique est contenue dans le certificat et la PKI s'intègre facilement dans les environnements Microsoft à l'aide des fonctions de sécurité intégrées de Windows.
Alors que PKI présente une sécurité optimale, sa perception parmi les responsables informatiques a longtemps été qu'il s'agit d'une solution complexe. En conséquence, les entreprises auront souvent tendance à regarder plus bas dans la pyramide et à opter pour des solutions moins sécurisées, mais plus faciles à mettre en œuvre. Grâce à des technologies améliorées pour les utilisateurs finaux, telles que les téléphones intelligents et les jetons USB comme la YubiKey, et des technologies préinstallées comme Windows Hello for Business de Microsoft, la protection au niveau crypto est devenue beaucoup plus accessible pour les organisations de toutes tailles.
Axé sur les solutions
Des organisations comme Intercede sont au cœur de la révolution cryptographique et ont réagi en développant une plate-forme logicielle de gestion des informations d'identification pour permettre à davantage d'entreprises d'adopter une sécurité d'authentification renforcée.
En combinant la technologie Microsoft Active Directory et les services de certificats que de nombreuses organisations ont déjà intégrées à leur infrastructure informatique avec des processus métier prédéfinis basés sur les meilleures pratiques, nous avons développé une gestion des informations d'identification simple et abordable pour une toute nouvelle gamme d'entreprises afin d'atteindre le sommet. de la pyramide d'authentification.
Sans logiciel de gestion des informations d'identification, la gestion des cartes à puce et des jetons USB pour des volumes supérieurs à 500 employés devient complexe et prend énormément de temps pour les équipes informatiques.
Cependant, cette nouvelle capacité à supprimer les complexités de la gestion des informations d'identification PKI rend la forme la plus solide d'authentification des utilisateurs beaucoup plus accessible pour les entreprises qui ne veulent pas faire de compromis sur la sécurité des données.
Avec des solutions s'intégrant à leur infrastructure informatique, les organisations peuvent commencer à délivrer des certificats aux cartes à puce des employés de divers fabricants et jetons USB, tels que la YubiKey. Ils peuvent également contrôler de manière centralisée la gestion du cycle de vie des informations d'identification des employés pour la réémission, la révocation, le déverrouillage, le renouvellement, la suppression et la mise à jour.
Qu'il s'agisse de fournir une connexion sécurisée à Windows et au réseau, un VPN et un accès à distance, la signature et le cryptage des e-mails ou la protection de l'accès aux ressources cloud, ces solutions nouvellement disponibles permettent aux entreprises de toutes tailles et structures de passer facilement à la méthode la plus sécurisée des deux -l'authentification des facteurs dans l'ensemble de leur effectif.
En conséquence, le marché connaît une croissance significative de la demande des organisations qui souhaitent une meilleure façon de protéger les données dont elles sont responsables. C'est un signe encourageant, non seulement pour les fournisseurs de solutions de cybersécurité, mais aussi pour les employés, les citoyens, les consommateurs et la société au sens large.
___
par source : ITProPortal