La mort des mots de passe a été déclarée en permanence par la communauté de la sécurité, mais elle pourrait maintenant s'en tenir à l'introduction des clés d'accès. Dans ce blog, nous donnerons un aperçu de l'évolution de la sécurité des mots de passe, en la comparant à des méthodes d'authentification plus modernes. Nous mettrons également en évidence et fournirons une meilleure compréhension des lacunes d'authentification sans mot de passe que les attaquants exploitent et explorerons les avantages des clés de sécurité.
L'histoire de la sécurité par mot de passe
La sécurité des mots de passe a évolué au fil des années. De prendre un mot de passe simple et de le rendre plus complexe en introduisant des caractères spéciaux et/ou des mots de passe plus longs. Bien que cela ait rendu plus difficile le déchiffrement du mot de passe, cette solution n'a pas résolu le problème des mots de passe volés ou divulgués qui sont utilisés dans attaques basées sur l'identité. À mesure que la sécurité des mots de passe continuait d'évoluer, authentification multi-facteurs (MFA) – combinant quelque chose que vous connaissez (comme un mot de passe) avec quelque chose que vous possédez (un jeton numérique, une empreinte digitale, une RFID, etc.) – est devenu la référence en matière d'authentification.
Bien que MFA continue d'être une solution solide et très populaire, elle a largement contribué à réduire l'utilisation de mots de passe compromis. Cependant, il restait un problème fondamental - le mot de passe lui-même. Les mots de passe restaient intrinsèquement faibles, facilement cassables et toujours sensibles aux attaques d'ingénierie sociale. Sans parler de l'inconvénient pour les humains d'avoir à se souvenir de ces mots de passe, ce qui a conduit à la tendance à les écrire et, dans de nombreux cas, à réutiliser le même mot de passe partout pour éviter de se souvenir de plusieurs mots de passe.
Authentification sans mot de passe
Pour renforcer la sécurité du mot de passe. L'authentification sans mot de passe est devenue une solution plus acceptable car elle supprime le facteur humain et les inconvénients liés à la création et à la mémorisation d'un mot de passe et supprime la possibilité pour un attaquant d'ingénierie sociale à distance ou de voler un mot de passe à un utilisateur.
Une forme courante d'authentification sans mot de passe est Clés d'accès. Les clés de passe sont des identifiants d'authentification qui deviennent une authentification unique et principale qui est plus sécurisée que toute forme d'authentification basée sur un mot de passe et tout autre facteur en encapsulant les principes fondamentaux du multifacteur dans une étape d'authentification unique. Cela le rend plus rapide, plus facile et plus sûr pour l'utilisateur.
Les clés de sécurité sont basées sur deux protocoles : FIDO2 et webAuthN. Ces protocoles se sont avérés résistants aux menaces telles que le phishing, bourrage d'informations d'identification, et les attaques de l'homme du milieu (MiTM). Clés d'accès utilisez l'appareil photo de votre téléphone avec un code QR présenté, puis utilisez un appareil physique tel que Yubikey, et/ou des informations biométriques telles que votre visage comme dans Windows Hello ou votre empreinte digitale.
Maintenant, avec des clés d'accès et Silverfort, vous pouvez protéger vos identités réseau avec MFA sans avoir à télécharger une application tierce. Les applications tierces sont couramment utilisées dans les cyberattaques, et les laisser derrière elles aide encore plus l'aspect sécurité.
Silverfort-Plus de mot de passe-moins
Comme étape supplémentaire dans le processus d'authentification, Silverfort peut implémenter le mot de passe et le relier aux applications, privilégiés, les interfaces de ligne de commande et d'autres plates-formes qui, autrement, ne peuvent pas prendre en charge ce type d'authentification moderne. SilverfortLes capacités de permettent aux organisations et aux industries de relier plusieurs types d'authentification tels que les multi-facteurs traditionnels et les clés de passe en une solution d'identité omniprésente pour nos clients. Silverfort fournit le plan de contrôle d'identité et permet aux clients de déployer des politiques de contrôle d'accès utilisateur pour régir l'accès aux ressources critiques et sensibles dans leur environnement. Pour en savoir plus, demander une démo ici.