Les gens ont une longue histoire ancienne d'utilisation de mots de passe. Récapitulons le développement des mots de passe et des technologies d'authentification (2FA, MFA, OTP, U2F, FIDO2). De plus, vous pouvez trouver notre manuel sur comment devenir sans mot de passe en 2020.
Contenu
L'Ascension (et la Chute ?) des Mots de Passe
L'Ascension (et la Chute ?) des Mots de Passe
Les gens ont une longue histoire ancienne d'utilisation de mots de passe. De la bataille entre les tribus de Galaad et d'Éphraïm décrite dans le 12ème chapitre du livre biblique des Juges, ils étaient utilisés pour authentifier les alliés et détecter les ennemis. Plus tard, l'armée a évolué le processus en utilisant un mot de passe et un contre-mot de passe qui fonctionnait comme un modèle de défi-réponse.
Outre la restriction de l'accès physique, les mots de passe étaient utilisés pour garder une communication ou certaines informations secrètes. Pas étonnant que les mots de passe soient devenus une partie essentielle des ordinateurs dans les premiers jours du développement de l'informatique. La première connexion par mot de passe dans un système informatique a été implémentée en 1961.
Cependant, la première faille de mot de passe informatique s'est produite seulement un an après leur introduction. En 1962, en raison d'un bug logiciel, une liste d'utilisateurs et de leurs mots de passe accueillait tous ceux qui se connectaient au système. Oups.
Malgré les piratages et les fuites continus, les mots de passe sont maintenant partout – PC, téléphones, sites Web, applications, jeux, banque, etc. Et les gens ont été acharnés à trouver un moyen de rendre l'authentification plus sécurisée.
Authentification 101
De nos jours, il existe une pléthore de méthodes d'authentification. Récapitulons les approches les plus courantes :
- Authentification à un seul facteur est la forme la plus simple et la plus courante d'authentification. Pour accéder à un service ou à un système, vous devez fournir seulement une méthode d'authentification, comme un mot de passe, un NIP, une carte PIV, etc. Ce type de simplicité ne garantit pas un niveau de sécurité approprié car, dans la plupart des cas, les fraudeurs peuvent facilement deviner ou voler les informations d'identification.
- Authentification à deux facteurs est une recommandation générale pour la protection des comptes. La recherche a montré que l'authentification à deux facteurs peut prévenir 80 % des violations de données. Elle ajoute une autre couche de vérification nécessitant un NIP, un mot de passe à usage unique, un jeton matériel, etc. en plus du mot de passe. L'inconvénient – l'authentification à deux facteurs nécessite une étape supplémentaire, ce qui signifie un temps supplémentaire et un effort cognitif supplémentaire.
- Authentification Multifacteur est la méthode la plus sophistiquée qui nécessite deux facteurs ou plus à être fournis par un utilisateur. Généralement, l'AMF exploite deux ou trois éléments de la liste :
- Quelque chose que vous savez – un mot de passe, un NIP, une question de sécurité ;
- Quelque chose que vous avez – un jeton matériel comme le Hideez Key, téléphone mobile, carte à puce ;
- Quelque chose que vous êtes – empreinte digitale, FaceID, scan d'iris ;
- Quelque chose que vous faites – vitesse de frappe, information de localisation, etc.
- La synchronisation temporelle entre le serveur d'authentification et le client fournissant le mot de passe, ce qui signifie que les OTP ne sont valides que pour une courte période de temps.
- Un algorithme mathématique qui génère un nouveau mot de passe basé sur le précédent, formant une chaîne.
- Un algorithme mathématique qui forme un nouveau mot de passe basé sur un défi (par exemple, un nombre aléatoire choisi par le serveur d'authentification ou les détails de la transaction).
- Étape 1. Hideez fonctionne comme un coffre-fort à mots de passe se souvenant de tous vos mots de passe (environ 2 000 !) et les gardant sécurisés avec plusieurs couches de chiffrement.
- Étape 2. Hideez saisit vos informations d'identification en quelques secondes. Plusieurs modes sont disponibles : a) appuyez sur le bouton sur la Clé Hideez, et b) utilisez des raccourcis clavier personnalisés. Voilà !
-
Bonus : Vous n'avez plus à vous soucier des attaques de hameçonnage jamais plus. Hideez ne divulguera pas vos informations d'identification à un site Web ou une application frauduleuse.
- Étape 3. Vous pouvez utiliser la solution Hideez pour verrouiller et déverrouiller votre PC. Encore une fois, plusieurs options sont disponibles : a) proximité – s'approcher de votre PC ou s'éloigner ; b) tactile – taper sur notre dongle Bluetooth pour déverrouiller et appuyer sur le bouton pour verrouiller votre PC ; c) RFID – déverrouillez votre PC en utilisant un lecteur RFID.
- Étape 4. La Solution Entreprise Hideez permet aux administrateurs de mettre à jour les mots de passe sur le serveur des employés, ainsi les utilisateurs finaux ne sauront même pas qu'un changement a eu lieu, et le service informatique de l'entreprise ne sera pas submergé de demandes de réinitialisation de mots de passe nouvellement créés.
- Étape 5. En suivant les meilleures pratiques en matière de cybersécurité et les recommandations du NIST, Hideez fournit une 2FA avec un générateur OTP intégré.
En plus du nombre de facteurs, il existe plusieurs technologies et protocoles d'authentification sur le marché.
Le moyen le plus simple de gérer les informations d'identification personnelles est de les enregistrer. Comme les journaux ne sont pas si sécurisés, des coffres-forts à mots de passe ont été introduits. Il existe plusieurs produits disponibles – gratuits ou sur abonnement avec un stockage chiffré sur un cloud ou un appareil local. Les gestionnaires et coffres-forts de mots de passe sont parfaits pour se souvenir des mots de passe, mais ils ne simplifient ni ne sécurisent le processus d'authentification.
Pour se débarrasser de multiples mots de passe, les développeurs ont inventé l'Authentification Unique (SSO). C'est désormais l'une des solutions d'entreprise les plus courantes qui permet d'utiliser un ensemble d'informations d'identification pour accéder à plusieurs services et applications. Les employés gagnent du temps en entrant leurs mots de passe, et un administrateur informatique obtient plus de contrôle sur l'accès aux services de l'entreprise et moins de demandes liées aux mots de passe. L'authentification unique peut réduire le risque de cyberattaque réussie en réduisant le nombre d'informations d'identification en danger.
Étant donné que l'utilisation de l'authentification à un seul facteur est généralement mal vue dans les cercles de sécurité, les Mots de Passe à Usage Unique (OTP) sont devenus une norme 2FA pour les services contenant des informations sensibles, comme la banque en ligne, les portails médicaux, etc. Habituellement, un OTP est une chaîne de nombres qui est valable pour une session ou une transaction. Comme l'OTP change dynamiquement la séquence exacte, cette méthode d'authentification n'est pas vulnérable aux attaques par rejeu. Il existe plusieurs méthodes de génération d'OTP :
Pour renforcer et simplifier l'authentification à deux facteurs, les développeurs ont créé un protocole U2F (Universal Second Factor). Il connecte un appareil Bluetooth, USB ou NFC à un service en ligne et effectue une authentification par défi-réponse en utilisant des méthodes de cryptographie à clé publique et une clé d'appareil unique. Du côté de l'utilisateur, c'est aussi simple que d'appuyer sur un bouton sur l'appareil ou de tapoter via NFC. Comme U2F nécessite un appareil physique pour l'authentification, il est résistant aux attaques et protège même les mots de passe simplifiés.
Une Nouvelle Approche
Toutes ces méthodes semblent excellentes, et elles offrent une meilleure sécurité pour vos données. Mais sur la route de la sécurité, nous compromettons constamment la convivialité. Alors voici une réflexion : "Pouvons-nous protéger nos données sans aucun mot de passe ?".
Un groupe d'enthousiastes a dit "Oui," et a développé le cadre FIDO2 .
Il remplace complètement les mots de passe par un nouveau type de données d'identification qui ne peuvent pas être volées.
FIDO2 se compose du Standard d'Authentification Web W3C (WebAuthn) et du Protocole Client vers Authentificateur FIDO (CTAP). Ensemble, ils créent un processus dans lequel un authentificateur cryptographique contrôlé par l'utilisateur se connecte à une Partie Faisant Confiance à WebAuthn (un serveur FIDO2) via un agent utilisateur Web (un navigateur).
Lors de l'inscription, une paire de clés privées et publiques est générée. La clé privée est stockée sur l'appareil, tandis que le serveur FIDO2 enregistre la clé publique dans une base de données. Lors de l'authentification, la clé publique est saisie pour le service Web et est vérifiée avec la clé privée déverrouillée par une action de l'utilisateur.
Il se passe beaucoup de choses en arrière-plan, mais un utilisateur ne devrait appuyer que sur le bouton, scanner une empreinte digitale ou effectuer une autre action d'authentification. Le seul inconvénient du cadre FIDO2 est qu'il n'est pas encore largement pris en charge.
Retour à la Réalité
L'approche véritablement sans mot de passe est inatteignable dans le monde réel car nous avons trop de systèmes, de plateformes et de services. Il n'existe pas de solution miracle qui pourrait répondre à toutes les exigences, être sécurisée et simple. C'est un peu comme le paradoxe du bon-rapide-pas cher. Ce que nous pouvons faire, c'est adopter une idée de base d'un travail complexe en arrière-plan qui est initié par une action simple.
C'est similaire à la façon dont fonctionnent les réseaux cellulaires. Une fois qu'un téléphone est allumé, il commence à rechercher un signal provenant des stations de base. Pour établir une connexion, votre téléphone envoie son identifiant unique à la station. Ils maintiennent leur contact par un échange périodique de paquets selon des protocoles analogiques (AMPS, NAMPS, NMT-450) ou numériques (DAMPS, CDMA, GSM, UMTS).
Un propriétaire de téléphone moyen n'a pas la moindre idée de son fonctionnement. Il/elle vient juste d'allumer le téléphone.
Le Changement de Paradigme
Et si je vous disais qu'une expérience aussi fluide existe déjà ? Oui, vous avez bien compris. Vous pouvez profiter d'une expérience 'sans mot de passe' pour vos sites Web, applications et même fichiers protégés avec une seule solution simple. Hideez.
La Solution Entreprise Hideez et la Clé Hideez pour les Particuliers gèrent toutes les tâches liées à l'authentification en arrière-plan, pendant que vous n'avez même pas besoin de penser aux mots de passe.
Voilà notre petit manuel sur la façon dont vous pouvez obtenir une expérience fluide sans mot de passe en 2020.
Une Clé. Un bouton. Plusieurs personnalisations. Toutes vos informations d'identification sont sûres et authentifiées en arrière-plan.
Si vous êtes impatient de tester Hideez par vous-même, remplissez le formulaire ci-dessous. Ajoutez le code "Sans mot de passe" pour bénéficier d'une offre spéciale en remerciement d'avoir terminé cette longue lecture :)