Hikvision Cybersecurity Director on Multi-Factor Authentication (MFA) pour réduire les problèmes de sécurité et réduire le risque de piratage de mot de passe

mediaIamge

MFA : Authentification multifacteur pour protéger vos comptes en ligne 


Vous n’avez pas besoin d’un Master of Fine Arts pour utiliser l’authentification multifacteur (AMF). Désolé pour l’acronyme humour. L’authentification multifacteur MFA exige qu’un utilisateur fournisse un moyen supplémentaire d’authentification ou de vérification, en plus de la saisie d’un nom d’utilisateur et d’un mot de passe, afin de se connecter à un compte ou à un site Web.

 

Avant de nous plonger dans la MFA, parlons rapidement de l’authentification. Traditionnellement, l’authentification se compose de deux éléments : un nom d’utilisateur et un mot de passe.

 

Le nom d’utilisateur est censé être l’identité du compte. Cela n’est pas destiné à être privé ou difficile à comprendre. En fait, dans la plupart des cas, le nom d’utilisateur est destiné à être public ou au moins visible par d’autres personnes qui utilisent le même système, service, réseau, etc.

 

Le mot de passe est censé être le secret qui est échangé pour permettre à l’utilisateur d’accéder au système, au service, au réseau, etc. L’utilisation d’un seul nom d’utilisateur et mot de passe est connue sous le nom d’authentification à un facteur, car l’utilisateur vérifie son identité avec un élément de preuve ou un facteur.

 

L’AMF ajoute deux ou plusieurs éléments de preuve ou facteurs vérifiables au processus d’authentification pour réduire considérablement les problèmes de sécurité en réduisant les chances qu’un compte soit consulté par la mauvaise personne. L’authentification à deux facteurs (2FA) est un sous-ensemble d’AMF et est un moyen d’authentification avec seulement deux éléments de preuve ou facteurs vérifiables. Un bon exemple concret de la 2FA est l’utilisation d’un DAB. Vous utilisez quelque chose que vous avez, la carte DAB et quelque chose que vous connaissez, votre code PIN.

 

Il existe généralement quatre facteurs d’authentification que nous pouvons utiliser aujourd’hui :    

  1. Quelque chose que vous avez (c.-à-d. un générateur de nombres comme Google Authenticator)
  2. Quelque chose que vous savez (c.-à-d. un mot de passe ou une phrase secrète)
  3. Quelque chose que vous êtes (c.-à-d. la biométrie comme l’empreinte digitale ou la géométrie faciale)
  4. Où vous vous trouvez (c.-à-d. localisation GPS suivie par votre téléphone ou adresse IP)

 

Ci-dessous, j’expliquerai quelques options qui s’inscrivent dans chacune de ces catégories.

 

 

Jeton matériel : quelque chose que vous avez

Un jeton matériel peut se présenter sous de nombreuses formes. Dans les années 90, vous pouviez toujours le dire aux informaticiens d’une entreprise, car ils avaient de petits porte-clés avec un petit affichage avec des chiffres changeant toutes les 30 secondes. C’est ce qu’on appelle un mot de passe à usage unique basé sur le temps (TOTP). Bien qu’il s’agisse toujours d’une option aujourd’hui, la plupart des implémentations de TOTP sont exécutées à l’aide d’une application mobile ou d’un message SMS (voir ci-dessous). Un autre jeton matériel populaire est  leYubikey. Il s’agit d’un jeton matériel qui est généralement branché à un ordinateur via USB, mais certaines Yubikeys prennent en charge la communication en champ proche qui prend en charge les appareils sans ports USB, comme un iPhone. Pour utiliser ce jeton, vous vous connectez avec votre nom d’utilisateur et votre mot de passe, puis un champ apparaît sur la page qui demande l’authentification Yubikey. Au lieu de taper dans ce champ, l’utilisateur branche la Yubikey et touche le capteur. Avec cette connexion physique, la clé est entrée par la Yubikey.

 

 

TOTP SMS : quelque chose que vous avez   

Le mot de passe à usage unique (TOTP) basé sur le temps par SMS est un message texte ou un e-mail avec un code numérique, appelé mot de passe à usage unique (OTP), car il n’est valable que pour une seule utilisation. Cette méthode est moins populaire auprès des professionnels de la cybersécurité, car elle s’est avérée faible par rapport aux autres options, mais elle est toujours BEAUCOUP meilleure que d’utiliser uniquement un nom d’utilisateur et un mot de passe.

 

 

Jeton de mot de passe à usage unique (TOTP) basé sur le temps : quelque chose que vous avez

Une autre méthode populaire est l’utilisation d’un générateur TOTP tel que ceux que l’on trouve sur les anciens jetons de porte-clés RSA matériels ou une application pour smartphone comme  Google AuthenticatorLastPassFreeOTP  et d’autres. Ces nombres changent toutes les 30 secondes en fonction d’un algorithme partagé que le jeton logiciel et le serveur d’authentification connaissent tous deux. Aucune communication réseau ou Internet n’est nécessaire pour utiliser le jeton logiciel. L’image ci-dessous montre le jeton basé sur le temps sur un téléphone portable et où il est entré dans la page Web après la saisie du nom d’utilisateur et du mot de passe dans Google.

 

 

Téléphone/e-mail : quelque chose que vous avez    

Deux autres options TOTP MFA sont de recevoir un appel téléphonique ou un e-mail avec le code MFA. Bien que cela soit préférable à l’absence d’AMF, il a été démontré plusieurs fois à quel point il est facile pour un acteur malveillant d’intercepter ou d’utiliser cette option sans que l’utilisateur propriétaire du compte ne le sache.

 

 

Codes de sauvegarde : quelque chose que vous avez

Les codes de sauvegarde vous sont fournis lorsque vous configurez la MFA sur de nombreux sites. L’idée derrière les codes de sauvegarde est que vous les sécurisez dans un bureau/bureau sécurisé, un coffre-fort ou un coffre-fort crypté, comme votre gestionnaire de mots de passe. Ils ne sont utilisés que si vous perdez ou n’avez pas accès à votre MFA régulièrement utilisée. Par exemple, si votre téléphone est volé, vous ne pouvez plus utiliser Google Authenticator. Dans ce cas, vous pouvez retirer vos codes de sauvegarde et vous connecter à votre compte.

 

 

Biométrie : quelque chose que vous êtes

La biométrie est devenue une pratique courante avec les lecteurs d’empreintes digitales et la technologie de reconnaissance faciale intégrée dans les appareils mobiles et les ordinateurs portables que nous utilisons chaque jour. Cependant, dans ces implémentations, la biométrie est utilisée comme alternative au nom d’utilisateur et au mot de passe plutôt que comme un autre facteur. Nous ne voyons pas beaucoup de biométrie utilisée dans l’AMF en ligne de nos jours, mais il est possible de l’utiliser.

 

 

GPS : Où vous êtes

La localisation GPS est un autre facteur qui n’est pas beaucoup utilisé pour la MFA aujourd’hui, mais qui est fréquemment suivi pour déterminer si des comptes ont été violés. Imaginons que Sally se connecte au VPN de sa société depuis New York à 8 h lundi, puis se reconnecte au serveur VPN à 10 h du matin depuis Paris. Évidemment, elle n’a pas pu se rendre de New York à Paris en deux heures, donc le serveur VPN refuserait cette deuxième connexion et alertait l’équipe de cybersécurité pour qu’elle enquête.    

 

 

QR :  Quelque chose que vous avez

Les codes QR sont de plus en plus populaires comme méthode d’authentification et, dans certains cas, remplacent complètement le nom d’utilisateur et les mots de passe. Bien que cela ne soit pas si courant pour la plupart des internautes, il existe actuellement une technologie en cours qui pourrait faire des codes QR et des appareils photo des téléphones et des ordinateurs le remplacement du nom d’utilisateur et des mots de passe.   

 

 

Vue D’ensemble

  1. Nous détestons tous les mots de passe, d’autant plus que nous devons les rendre complexes, ce qui nous rend difficile de nous en souvenir.
  2. Les gestionnaires de mots de passe nous permettent de créer d’excellents mots de passe pour tous les comptes.
  3. L’AMF sécurisera davantage un compte en exigeant plus qu’un simple nom d’utilisateur et mot de passe pour s’authentifier.

 

La MFA est proposée sur de nombreux sites Web parmi les plus populaires, tels que Google, Facebook, Twitter et LinkedIn, mais la plupart des utilisateurs ne l’autorisent pas.

 

Vous trouverez ci-dessous deux sites Web qui proposent une liste consultable de sites Web prenant en charge l’authentification multifacteur et des instructions sur la manière d’activer l’AMF sur ces sites :

  1. https://evanhahn.com/2fa/
  2. https://twofactorauth.org/

 

En utilisant la MFA comme mesure de sécurité supplémentaire, vous pouvez réduire les problèmes de sécurité lorsque vous vous connectez à vos comptes en ligne. 

Hikvision.com utilise des cookies et des technologies associées strictement nécessaires pour permettre au site Web de fonctionner, notamment pour vous authentifier / sécuriser notre service / enregistrer certaines préférences / enregistrer vos préférences en matière de cookies.

Avec votre consentement, nous aimerions également utiliser des cookies pour observer et analyser les niveaux de trafic et d'autres mesures / vous montrer des publicités ciblées / vous montrer des publicités en fonction de votre localisation. Vous pouvez toujours vous opposer et modifier l'utilisation de ces cookies en utilisant le bouton Gérer les cookies sur le site Web.

Pour plus d'informations sur les pratiques en matière de cookies, veuillez consulter notre politique relative aux cookies.

Contactez-Nous
Hik-Partner Pro close
Hik-Partner Pro
Security Business Assistant. At Your Fingertips. Learn more
Hik-Partner Pro
Scan and download the app
Hik-Partner Pro
Hik-Partner Pro

Get a better browsing experience

You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.