Autrefois considérés comme une forme adéquate d’authentification en ligne, les mots de passe sont désormais largement reconnus comme une forme d’authentification non sécurisée qui expose les utilisateurs à un risque élevé de cyberattaques modernes telles que le phishing. Même les mots de passe les plus forts peuvent être devinés, volés ou interceptés, et une fois que cela se produit, les acteurs malveillants peuvent facilement contourner les anciennes formes d’authentification multifacteur (MFA) et accéder aux informations personnelles.
Les entreprises sont bien conscientes des risques liés à la protection de leurs comptes en ligne uniquement à l’aide de mots de passe et cherchent des moyens de renforcer leur résilience informatique. Des progrès sont en cours : le gouvernement britannique a récemment adopté des réglementations visant à protéger les consommateurs contre le piratage informatique et d’autres cyberattaques, notamment en interdisant aux fabricants d’appareils intelligents de définir des mots de passe par défaut faibles et faciles à deviner tels que « 12345 ».
Il reste toutefois encore beaucoup à faire pour parvenir à une véritable cyber-résilience et à une résistance aux attaques de phishing. Celles-ci sont aujourd’hui la première cause de réussite des cyberattaques, plus de 80 % d’entre elles étant le résultat du vol d’identifiants de connexion.
Niall McConachie
Navigation des liens sociaux
Directeur régional (Royaume-Uni et Irlande) chez Yubico.
Vers un avenir sans mot de passe grâce aux clés d’accès
Les mots de passe, qui reposent sur des secrets partagés mémorisés, nécessitent de toute urgence une alternative plus sûre. La prolifération des clés d’authentification représente un progrès significatif pour la technologie d’authentification vers la réalisation de cet objectif dans le monde entier. Les clés d’authentification sont souvent stockées sur des appareils tels que des téléphones, des ordinateurs ou des clés de sécurité matérielles résistantes au phishing. Grâce à la cryptographie asymétrique, chaque clé d’authentification se compose d’une clé publique et d’une clé privée liées par des formules mathématiques complexes. Le site ou l’application d’hébergement stocke la clé publique, tandis que la clé privée reste en toute sécurité sur l’appareil de l’utilisateur.
L’adoption d’une MFA résistante au phishing et de clés d’authentification liées aux appareils, comme les clés de sécurité matérielles, est essentielle pour une protection robuste contre les cybermenaces sophistiquées. Ces clés offrent une défense fiable contre les attaques à distance, rendant l’accès physique non négociable pour l’authentification. Alors que 91 % des cyberattaques commencent par le phishing, des méthodes d’authentification sûres et pratiques comme celles-ci soulignent la nécessité d’abandonner définitivement les mots de passe.
Lors de la connexion à des comptes et services en ligne, l’authentification se fait via un processus de validation et une « poignée de main » entre les deux clés. Cette approche permet de remédier à de nombreuses vulnérabilités associées aux mots de passe traditionnels. La bonne nouvelle est que les clés d’accès sont intrinsèquement résistantes au phishing ; elles ne peuvent pas être interceptées ou volées par des attaquants distants. De plus, chaque clé d’accès est spécifique à un site Web ou à une application, ce qui empêche l’envoi d’informations d’identification aux sites de phishing, même si l’utilisateur est trompé.
Certaines applications ou services prenant en charge les clés d’accès permettent aux utilisateurs de choisir entre des options synchronisées et matérielles. Comme elles ne nécessitent ni batterie ni connexion Internet, les clés de sécurité matérielles offrent une authentification fiable dans les environnements où les appareils mobiles sont restreints ou inaccessibles aux utilisateurs.
En fin de compte, la méthode la plus sûre pour protéger les informations d’identification consiste à utiliser des clés d’accès liées à l’appareil stockées sur des clés de sécurité. Cela offre une solution de sécurité robuste pour les consommateurs et les entreprises, en particulier celles qui se concentrent sur des normes de conformité strictes.
Quelle est la prochaine étape pour les clés d’accès ?
La popularité, la croissance et l’adoption des clés d’accès devraient augmenter au cours des prochaines années, à mesure que les particuliers et les entreprises comprennent l’importance de passer au sans mot de passe et d’utiliser des solutions MFA qui empêchent réellement les attaques de phishing. Elles constitueront un élément fondamental des meilleures pratiques de sécurité au sein de nombreuses organisations. Apple, Google et Microsoft utilisent déjà des clés d’accès en interne pour aider leur personnel, tout en ajoutant la prise en charge des clés d’accès pour que les clients puissent accéder à leurs sites, et d’autres devraient bientôt suivre leur exemple.
Il est plus urgent que jamais que davantage de plateformes et de services permettent l’utilisation de clés d’accès et créent un Internet plus sûr pour tous. À mesure que les clés d’accès gagnent du terrain à l’échelle mondiale, il faut espérer que l’utilisation de mots de passe diminuera et que le succès des attaques de phishing diminuera considérablement dans le monde entier.
Assurer la résistance des utilisateurs au phishing est essentiel pour une véritable cyber-résilience
De plus en plus, les entreprises doivent faire plus que simplement déployer les bons outils de sécurité pour maintenir le plus haut niveau de sécurité et éliminer complètement les attaques de phishing. Étant donné que le principal contrôle de sécurité des entreprises a traditionnellement consisté à empêcher le phishing au moment de l’authentification, le déploiement d’une nouvelle authentification résistante au phishing a vu les comptes utilisateurs entrer dans un état hybride avec des types d’identifiants à la fois phisables et résistants au phishing disponibles.
Par conséquent, à mesure que les utilisateurs passent d’une plateforme à l’autre et d’un appareil à l’autre, et d’une application ou d’un service personnel à l’autre, le risque d’être victime d’attaques de phishing augmente de manière exponentielle. De nombreuses techniques d’authentification conventionnelles sont intrinsèquement susceptibles d’être phisées, ce qui signifie que les plateformes et les entreprises doivent améliorer et sécuriser leurs processus d’émission d’identifiants, d’enregistrement d’appareils et de connexion aux fournisseurs de clés d’accès.
Cependant, la plupart du temps, les entreprises ont recours à des méthodes temporaires d’enregistrement et de récupération de compte susceptibles d’être hameçonnées lorsqu’un utilisateur est en cours d’intégration ou lorsque son appareil est perdu ou volé. Cette approche fragmentaire crée des moments opportuns pour qu’une attaque de phishing se produise et accroît les défis pour les entreprises en matière de protection constante de leurs systèmes et de leurs données, et même de respect de la conformité.
Ainsi, le secret pour assurer la protection adéquate d’un utilisateur ou d’un employé consiste à développer des utilisateurs résistants au phishing. Plutôt qu’une simple mesure réactive, il s’agit d’une stratégie proactive visant à éliminer le risque de phishing en éliminant tous les événements susceptibles d’être hameçonnés tout au long du cycle de vie de l’utilisateur.
Pour y parvenir, les entreprises doivent équiper leurs employés d’une MFA résistante au phishing et établir des procédures d’enregistrement de compte et de récupération d’utilisateur résistantes au phishing pour tous. Cela repose sur l’utilisation de clés de sécurité matérielles portables et spécialement conçues comme base pour une sécurité de la plus haute assurance. Enfin, les entreprises doivent utiliser des solutions technologiques qui réduisent la dépendance à l’égard de la formation des utilisateurs, tout en fournissant une formation essentielle sur les principes et les avantages de la MFA résistante au phishing pour une utilisation professionnelle et personnelle.
L’authentification sécurisée qui accompagne les utilisateurs sur tous les appareils, plates-formes et services, quel que soit leur mode de fonctionnement, n’est pas un rêve, mais une nécessité dans le paysage numérique actuel en constante évolution. La résistance au phishing dans les processus d’enregistrement, d’authentification et de récupération est primordiale pour cultiver des utilisateurs résistants au phishing. Cela améliore la résilience de la cybersécurité, réduit la dépendance aux mesures réactives et protège efficacement les données et les opérations sensibles. Tout commence et se termine par le déploiement des clés de sécurité matérielle modernes les plus sûres et par l’adieu aux mots de passe et autres méthodes d’authentification faibles pour toujours.
Nous listons les meilleurs gestionnaires de mots de passe d’entreprise.
2024-08-07 11:52:51
1723022053
#Abandonner #les #mots #passe #développer #des #utilisateurs #résistants #phishing
