Le vol d’informations d’identification atteint désormais un niveau record et est responsable de plus de violations de données que tout autre type d’attaque.
Les données et les processus commerciaux étant désormais largement basés sur le cloud, le mot de passe d’un utilisateur est le moyen le plus rapide et le plus simple de mener de nombreux types d’activités dangereuses.
Être connecté en tant qu’utilisateur (surtout s’il dispose de privilèges d’administrateur) peut permettre à un criminel d’envoyer des e-mails de phishing depuis le compte de votre entreprise à votre personnel et à vos clients. Le pirate peut également infecter vos données cloud avec un ransomware et exiger des milliers de dollars pour les restituer.
Comment protégez-vous vos comptes en ligne, vos données et vos opérations commerciales ? L’authentification multifacteur (MFA) est l’un des meilleurs moyens.
Quelles sont les trois principales méthodes de MFA ?
Lorsque vous implémentez l’authentification multifacteur dans votre entreprise, il est important de comparer les trois principales méthodes de MFA et de ne pas simplement supposer que toutes les méthodes sont identiques. Il existe des différences clés qui rendent certains plus sûrs que d’autres et certains plus pratiques.
Voyons quelles sont ces trois méthodes :
Basé sur SMS
La forme de MFA que les gens connaissent le mieux est basée sur les SMS. Celui-ci utilise la messagerie texte pour authentifier l’utilisateur.
L’utilisateur saisira généralement son numéro de mobile lors de la configuration de MFA. Ensuite, chaque fois qu’ils se connecteront à leur compte, ils recevront un SMS avec un code temporel qui devra être saisi.
Sur l’appareil dans une application
Un autre type d’authentification multifacteur utilisera une application spéciale pour faire passer le code. L’utilisateur génère toujours le code MFA lors de la connexion, mais plutôt que de recevoir le code par SMS, il est reçu via l’application.
Cela se fait généralement via une notification push et peut être utilisé avec une application mobile ou une application de bureau dans de nombreux cas.
Clef de sécurité
La troisième méthode clé de MFA consiste à utiliser une clé de sécurité distincte que vous pouvez insérer dans un PC ou un appareil mobile pour authentifier la connexion. La clé elle-même est achetée au moment de la configuration de la solution MFA et sera la chose qui recevra le code d’authentification et l’implémentera automatiquement.
La clé de sécurité MFA est généralement plus petite qu’une clé USB traditionnelle et doit être portée par l’utilisateur pour s’authentifier lorsqu’il se connecte à un système.
Voyons maintenant les différences entre ces trois méthodes.
La forme la plus pratique de MFA ?
Les utilisateurs peuvent souvent avoir l’impression que MFA les ralentit. Cela peut être pire s’ils ont besoin d’apprendre une nouvelle application ou d’essayer de se souvenir d’une petite clé de sécurité (et s’ils perdent cette clé ?).
Cet inconvénient pour les utilisateurs peut amener les entreprises à laisser leurs comptes cloud moins protégés en n’utilisant pas l’authentification multifacteur.
Si vous êtes confronté à un refus des utilisateurs et que vous recherchez la forme de MFA la plus pratique, ce serait la MFA basée sur SMS.
La plupart des gens sont déjà habitués à recevoir des SMS sur leur téléphone, il n’y a donc pas de nouvelle interface à apprendre ni d’application à installer.
La forme la plus sécurisée de MFA ?
Si votre entreprise gère des données sensibles sur une plate-forme cloud, telle que votre solution de comptabilité en ligne, il peut être dans votre intérêt d’opter pour la sécurité.
La forme la plus sécurisée de MFA est la clé de sécurité.
La clé de sécurité, étant un appareil distinct, ne laissera pas vos comptes sans protection en cas de perte ou de vol d’un téléphone portable. Les versions basées sur SMS et basées sur des applications laisseraient vos comptes en danger dans ce scénario.
Le SMS est en fait le moins sécurisé car il existe maintenant des logiciels malveillants qui peuvent cloner une carte SIM, ce qui permettrait à un pirate d’obtenir ces messages texte MFA.
Une étude de Google a examiné l’efficacité de ces trois méthodes de MFA pour bloquer trois types d’attaques différents. La clé de sécurité était globalement la plus sécurisée.
Pourcentage d’attaques bloquées :
- Basé sur SMS : entre 76 et 100 %
- Invite d’application sur l’appareil : entre 90 et 100 %
- Clé de sécurité : 100 % pour les trois types d’attaques
Qu’y a-t-il entre les deux ?
Alors, où l’application avec une invite sur l’appareil s’intègre-t-elle ? Juste entre les deux autres méthodes MFA.
L’utilisation d’une application MFA qui délivre le code via une notification push est plus sécurisée que la MFA par SMS. C’est également plus pratique que d’avoir à transporter une clé de sécurité distincte qui pourrait rapidement être perdue ou égarée.
Article used with permission from The Technology Press.