Authentification à facteurs multiples : 5 exemples et cas d'utilisation stratégiques

5 exemples de MFA

Tous les outils de MFA exigent des utilisateurs qu'ils fournissent au moins deux facteurs d'authentification. Les facteurs peuvent être répartis en trois catégories :

1. Quelque chose que l'utilisateur connaît. Par exemple, un mot de passe ou un code PIN.
2. Quelque chose que l'utilisateur est. Par exemple, une empreinte digitale ou un scan de l'iris.
3. Quelque chose que l'utilisateur possède. Par exemple, un jeton matériel.

Les outils de MFA doivent utiliser des facteurs appartenant à des catégories différentes - par exemple, une phrase de passe et un balayage facial, mais pas un mot de passe et un code PIN.

Idéalement, chaque facteur d'authentification devrait être solide. Pourtant, dans la plupart des cas, la première méthode de MFA est un mot de passe ou un code PIN, tous deux très sensibles au phishing et à d'autres attaques. Cela signifie que les autres facteurs doivent être encore plus forts.

Voici quelques exemples courants de la MFA à prendre en considération.

Mots de passe, phrases de passe et codes PIN

Il s'agit de codes, de phrases et de chiffres qui permettent de vérifier les utilisateurs. Les trois sont généralement peu sûrs. Un deuxième ou un troisième facteur d'authentification solide est essentiel pour protéger les comptes et l'accès.

Mots de passe à usage unique

Il existe plusieurs variantes d'OTP, c'est-à-dire des codes qu'un utilisateur reçoit et saisit dans un autre système comme facteur d'authentification. La plupart des OTP sont des OTP temporels, c'est-à-dire qu'ils changent ou expirent toutes les 30 secondes environ.

• OTP par courrier électronique. Il s'agit d'envoyer un code à l'adresse électronique enregistrée de l'utilisateur. Celui-ci doit ensuite saisir le code pour accéder à l'application, aux données ou au système. Ce facteur est facile à utiliser, mais il est vulnérable si le compte de messagerie de l'utilisateur est compromis.
• SMS OTP. Il s'agit de codes textuels envoyés à un téléphone. Ils sont connus pour leur manque de sécurité et ne doivent pas être utilisés pour la MFA.
• Les OTP par appel. Les codes délivrés lors d'un appel téléphonique sont également connus pour leur manque de sécurité et ne doivent pas être utilisés pour la MFA.
• OTP de l'application Authenticator. Générés par une application, telle que Google Authenticator ou Microsoft Authenticator, ils correspondent à la ressource à laquelle l'utilisateur tente de s'authentifier. Ces OTP sont généralement plus robustes que les OTP par courriel, SMS et appel, et garantissent que la personne qui saisit l'OTP est en possession du smartphone de l'utilisateur. Ils sont généralement sûrs, tant que l'appareil de l'utilisateur n'est pas compromis.

Biométrie

La biométrie, comme les lecteurs d'empreintes digitales intégrés aux ordinateurs portables et les scanners faciaux intégrés aux smartphones, est devenue une méthode d'authentification rapide et pratique. Cependant, ces méthodes ne sont pas infaillibles et peuvent être affectées par le changement d'apparence d'une personne, des coupures sur les doigts et d'autres circonstances. Elles exigent également que les utilisateurs disposent d'appareils dotés de capacités biométriques, qui ne sont pas omniprésents, loin s'en faut.

Authentification basée sur la localisation

Les utilisateurs sont vérifiés en fonction de leur emplacement physique. Si une connexion est effectuée à partir d'un lieu inconnu, des méthodes d'autorisation supplémentaires sont requises. Bien que cette méthode garantisse que seuls les utilisateurs de certaines régions peuvent se connecter, elle peut s'avérer gênante pour les utilisateurs et complexe à gérer pour les équipes de sécurité.

Authentification cryptographique

Les utilisateurs prouvent qu'ils possèdent une clé cryptographique secrète ou privée. Par exemple, l'utilisation de jetons matériels cryptographiques tels que les YubiKeys (qui peuvent également être utilisés pour les OTP). Si les facteurs d'authentification cryptographiques peuvent être puissants, ils ne sont efficaces que s'ils sont en possession de l'utilisateur. Il est facile de les oublier accidentellement.

Une MFA résistante à l'hameçonnage et adaptative

De nombreux outils MFA ont ajouté des fonctionnalités MFA résistantes au phishing et MFA adaptative.

• La MFA résistante au phishing est un type de processus d'authentification qui atténue les attaques par contournement de la MFA, telles que le push bombing, le SIM swapping et le phishing, en utilisant l'authentification FIDO/WebAuthN et la MFA basée sur l'ICP.
• La MFA adaptative ajuste l'authentification en fonction de la personne qui accède à l'application, aux données ou au système et du profil de risque de cette personne. Par exemple, la MFA adaptative fournit une authentification plus forte pour les situations plus risquées en demandant des méthodes d'authentification supplémentaires.

Cas d'utilisation de la MFA en entreprise

La MFA fait partie d'un nombre croissant de cas d'utilisation aujourd'hui, en partie grâce à l'augmentation des attaques de phishing et d'autres menaces de vol d'informations d'identification. Voici quelques exemples de cas d'utilisation de la MFA en entreprise.

Fournir un accès à distance sécurisé

Il s'agit de l'une des premières utilisations de la MFA, en particulier pour les utilisateurs se trouvant dans des lieux dépourvus de contrôles de sécurité physique rigoureux. Les télétravailleurs et les employés qui voyagent pour des raisons professionnelles ou qui travaillent à distance s'appuient souvent sur la MFA pour assurer leur sécurité.

Permettre aux employés d'accéder à des ressources sensibles

Il s'agit d'un pilier de la MFA depuis de nombreuses années. Elle comprend l'accès aux données personnelles sensibles des employés et des clients, aux informations sur les comptes financiers, à la propriété intellectuelle et aux secrets commerciaux de l'organisation. Il permet aux utilisateurs d'effectuer des opérations sensibles, telles que des virements bancaires ou toute autre opération pour laquelle la séparation des tâches est généralement appliquée.

Protéger l'accès des clients aux ressources sensibles

Il s'agit d'un cas d'utilisation de la MFA de plus en plus populaire. Les clients des institutions financières, des prestataires de soins de santé et d'autres services attendent de ces organisations qu'elles restreignent l'accès à leurs comptes, ce qui implique la prise en charge d'une MFA résistante à l'hameçonnage. Il est ainsi plus difficile pour les autres de voler de l'argent et d'accéder à des informations très personnelles.

Meilleures pratiques pour la mise en œuvre de la MFA

La clé d'une mise en œuvre réussie de la MFA est d'évaluer les options possibles à l'avance. Cette étape permet aux RSSI et aux équipes de sécurité d'identifier les problèmes et de traiter les cas d'utilisation de la MFA avant le déploiement complet.

Voici quelques conseils utiles pour la mise en œuvre de la MFA :

• Utiliser un système d'authentification à facteurs multiples résistant à l'hameçonnage. Envisagez la biométrie, les OTP et l'authentification cryptographique, ainsi que d'autres méthodes. Par exemple, si les employés portent déjà des cartes émises par l'entreprise à des fins de sécurité physique, ces cartes à puce peuvent également être utilisées pour la MFA.
• Réfléchissez bien à ce que feront les utilisateurs s'ils oublient ou perdent l'une de leurs méthodes de MFA. Comment, par exemple, un utilisateur voyageant à l'étranger pourra-t-il accéder aux ressources nécessaires s'il laisse sa YubiKey à la maison ?
• Considérons la sécurité de l'implémentation de la MFA elle-même. Si un pirate parvient à compromettre l'implémentation de la MFA, par exemple en prenant le contrôle des services d'authentification, c'est la fin de la partie. Veillez à ce que le déploiement de l'AMF soit bien sécurisé et étroitement surveillé afin d'identifier et d'arrêter toute attaque potentielle le plus rapidement possible.