Mot de passe oublié. Guide ultime pour un avenir sans mot de passe

07 février, 2020

Les gens utilisent depuis longtemps des mots de passeRécapitulons l'évolution des mots de passe et des technologies d'authentification (2FA, MFA, OTP, U2F, FIDO2)De plus, vous pouvez trouver notre manuel sur la façon de devenir sans mot de passe en 2020

Contenu

La montée (et la chute ?) des mots de passe

Authentification 101

Une nouvelle approche

Retour à la réalité

Le changeur de jeu

La montée (et la chute ?) des mots de passe

Les gens utilisent depuis longtemps des mots de passeDe la bataille entre les tribus de Galaad et d'Ephraïm décrite dans le 12ème chapitre du Livre biblique des Juges, ils ont été utilisés pour authentifier les alliés et détecter les ennemisL'armée a ensuite fait évoluer le processus en utilisant un mot de passe et un contre-mot de passe qui fonctionnaient comme un modèle de défi-réponse.

Passwordless authentication. Forget passwords Outre la restriction de l'accès physique, les mots de passe étaient utilisés pour garder une communication ou certaines informations secrètesPas étonnant que les mots de passe soient devenus un élément essentiel des ordinateurs au début du développement informatiqueLa première connexion par mot de passe dans un système informatique a été mise en œuvre en 1961

Cependant, le premier piratage de mot de passe informatique s'est produit un an seulement après leur introduction.En 1962, en raison d'un bogue logiciel, une liste d'utilisateurs et leurs mots de passe ont accueilli tous ceux qui se sont connectés au systèmeOops

Malgré des piratages et des fuites continus, les mots de passe sont désormais partout – PC, téléphones, sites Web, applications, jeux, services bancaires, etc.Et les gens ont été implacables pour trouver un moyen de rendre l'authentification plus sécurisée

Authentification 101

De nos jours, il existe une pléthore de méthodes d'authentificationReprenons les approches les plus courantes :

L'authentification à facteur unique est la forme d'authentification la plus simple et la plus courantePour accéder à un service ou à un système, vous n'avez besoin de fournir qu'une seule méthode d'authentification, telle qu'un mot de passe, un code PIN, une carte PIV, etc.Ce type de simplicité ne garantit pas un niveau de sécurité adéquat car, dans la plupart des cas, les fraudeurs peuvent facilement deviner ou voler les informations d'identification.
L'authentification à 2 facteur est une recommandation générale pour la protection des comptesLa recherche a révélé que 2FA peut empêcher 80% des violations de donnéesIl ajoute une autre couche de vérification nécessitant un code PIN, un mot de passe à usage unique, un jeton matériel, etc.en plus du mot de passeInconvénient – 2FA nécessite une étape supplémentaire, ce qui signifie plus de temps et d'efforts cognitifs
L'authentification multifacteur est la méthode la plus sophistiquée qui nécessite que deux facteurs indépendants ou plus soient fournis par un utilisateurHabituellement, MFA exploite deux ou trois éléments de la liste :

Quelque chose que vous savez – un mot de passe, un code PIN, une question de sécurité ;
Quelque chose que vous avez – un jeton matériel comme Hideez Key, un téléphone mobile, une carte à puce ;
Quelque chose que vous êtes – empreinte digitale, FaceID, analyse de l'iris ;
Quelque chose que vous faites – vitesse de frappe, informations de localisation, etc.

En plus du nombre de facteurs, il existe plusieurs technologies et protocoles d'authentification sur le marché

Passwordless authentication. Forget passwords Le moyen le plus simple de gérer les informations d'identification personnelles consiste à les enregistrerÉtant donné que les journaux ne sont pas très sécurisés, des coffres-forts de mots de passe ont été introduitsPlusieurs produits sont disponibles – gratuitement ou sur abonnement avec stockage chiffré sur un cloud ou un appareil localLes gestionnaires de mots de passe et les coffres-forts sont parfaits pour mémoriser les mots de passe, mais ils ne simplifient ni ne sécurisent le processus d'authentification

Pour se débarrasser de plusieurs mots de passe, les développeurs ont inventé l'authentification unique (SSO)C'est maintenant l'une des solutions d'entreprise les plus courantes qui permet d'utiliser un ensemble d'informations d'identification pour accéder à plusieurs services et applications.Les employés gagnent du temps sur la saisie des mots de passe, et un administrateur informatique obtient plus de contrôle sur l'accès aux services d'entreprise et moins de demandes liées aux mots de passeL'authentification unique peut réduire le risque d'une cyberattaque réussie en réduisant le nombre d'informations d'identification à risque

Étant donné que l'utilisation de l'authentification à facteur unique est généralement mal vue dans les cercles de sécurité, Les mots de passe à usage unique (OTP) sont devenus un 2FA standard pour les services contenant des informations sensibles, comme les services bancaires en ligne, les portails médicaux, etc.Habituellement, OTP est une chaîne de nombres valide pour une session ou une transactionÉtant donné qu'OTP modifie dynamiquement la séquence exacte, cette méthode d'authentification n'est pas vulnérable aux attaques par rejeuIl existe plusieurs méthodes de génération d'OTP :

Synchronisation temporelle entre le serveur d'authentification et le client fournissant le mot de passe, ce qui signifie que les OTP ne sont valides que pour une courte période
Un algorithme mathématique qui génère un nouveau mot de passe basé sur le précédent, formant une chaîne
Un algorithme mathématique qui forme un nouveau mot de passe basé sur un défi (par exemple, un nombre aléatoire choisi par le serveur d'authentification ou les détails de la transaction)

Passwordless authentication. Forget passwords Pour renforcer et simplifier la 2FA, les développeurs ont créé un protocole U2F (Universal Second Factor)Il connecte un appareil Bluetooth, USB ou NFC à un service en ligne et effectue une authentification par défi-réponse à l'aide de méthodes de cryptographie à clé publique et d'une clé d'appareil unique.Côté utilisateur, c'est aussi simple que d'appuyer sur un bouton de l'appareil ou d'appuyer sur NFCÉtant donné que U2F nécessite un appareil physique pour l'authentification, il est résistant aux attaques et protège même les mots de passe simplifiés

Une nouvelle approche

Toutes ces méthodes sonnent bien et offrent une meilleure sécurité pour vos donnéesMais sur le chemin de la sécurité, nous compromettons constamment la convivialitéAlors voici une réflexion : "Pouvons-nous protéger nos données sans aucun mot de passe ?"

Un groupe de passionnés a dit "Oui" et a développé le cadre FIDO2

Il remplace complètement les mots de passe par un nouveau type d'informations d'identification qui ne peuvent pas être volées

FIDO2 comprend la norme W3C Web Authentication (WebAuthn) et le protocole FIDO Client to Authenticator Protocol (CTAP)Ensemble, ils créent un processus dans lequel un authentificateur cryptographique contrôlé par l'utilisateur se connecte à une partie de confiance WebAuthn (un serveur FIDO2) via un agent utilisateur Web (un navigateur)

Passwordless authentication. Forget passwords Lors de l'enregistrement, une paire de clés privée et publique est généréeLa clé privée est stockée sur l'appareil, tandis que le serveur FIDO2 enregistre la clé publique dans une base de donnéesLors de l'authentification, la clé publique est entrée pour le service Web et est vérifiée avec la clé privée déverrouillée par l'action d'un utilisateur

Il se passe beaucoup de choses en arrière-plan, mais un utilisateur doit uniquement appuyer sur le bouton, scanner une empreinte digitale ou effectuer une autre action d'authentificationLe seul inconvénient du framework FIDO2 est qu'il n'est pas encore largement pris en charge

Retour à la réalité

Passwordless authentication. Forget passwords La véritable approche sans mot de passe est irréalisable dans le monde réel car nous avons trop de systèmes, de plates-formes et de servicesIl n'y a pas de solution miracle qui pourrait répondre à toutes les exigences, être sûre et simpleC'est comme le paradoxe bon-rapide-pas cherCe que nous pouvons faire, c'est prendre une idée de base d'un travail de fond compliqué qui est initié par une simple action

Cela ressemble au fonctionnement des réseaux cellulairesUne fois qu'un téléphone est allumé, il commence à rechercher un signal à partir des stations de base de l'émetteur-récepteurPour établir une connexion, votre téléphone envoie son identifiant unique à la stationIls gardent leur contact par un échange périodique de paquets selon un protocole analogique (AMPS, NAMPS, NMT-450) ou numérique (DAMPS, CDMA, GSM, UMTS)

Un propriétaire de téléphone moyen n'a aucune idée de son fonctionnementIl/elle vient d'allumer le téléphone

Le changeur de jeu

Et si je vous disais qu'une telle expérience fluide existe déjà ? Oui, vous avez ce droitVous pouvez profiter d'une expérience "sans mot de passe" pour vos sites Web, vos applications et même vos fichiers protégés avec une solution simpleCachez

Hideez Enterprise Solution et Hideez Key for Individuals gèrent toutes les tâches liées à l'authentification en arrière-plan, sans même avoir à penser aux mots de passe

Étape 1Hideez fonctionne comme un coffre-fort de mots de passe mémorisant tous vos mots de passe (environ 2 000 !) et les gardant en sécurité avec plusieurs couches de chiffrement

Étape 2Hideez saisit vos identifiants en quelques secondesIl existe plusieurs modes que vous pouvez utiliser : a) appuyez sur le bouton de Hideez Key, et b) utilisez des raccourcis clavier personnalisés.Voila !
Bonus : Vous n'avez plus jamais à vous soucier des attaques d'hameçonnage Hideez n'exposera pas vos informations d'identification à un faux site Web ou à une application
Étape 3Vous pouvez utiliser la solution Hideez pour verrouiller et déverrouiller votre PCEncore une fois, plusieurs options sont disponibles : a) proximité : approchez-vous de votre PC ou éloignez-vous ; b) toucher - appuyez sur notre dongle Bluetooth pour déverrouiller et appuyez sur le bouton pour verrouiller votre PC ; c) RFID : déverrouillez votre PC à l'aide d'un lecteur RFID

Étape 4Hideez Enterprise Solution permet aux administrateurs de mettre à jour les mots de passe des employés sur le serveur, Ainsi, les utilisateurs finaux ne sauront même pas que quelque chose a changé et le service informatique d'une entreprise ne traitera pas plusieurs demandes de réinitialisation des mots de passe nouvellement créés.

Étape 5Conformément aux meilleures pratiques de cybersécurité et aux recommandations du NIST, Hideez fournit 2FA avec un OTP intégré générateur

Passwordless authentication. Forget passwords

C'était notre petit manuel sur la façon dont vous pouvez obtenir une expérience fluide sans mot de passe en 2020

Une cléUn boutonPersonnalisations multiplesToutes vos informations d'identification sont saines et sauves et l'authentification fonctionne en arrière-plan

Si vous avez hâte de tester Hideez par vous-même, remplissez le formulaire ci-dessousAjoutez un code "Passwordless" pour obtenir une offre spéciale en guise de remerciement d'avoir terminé cette longue lecture :)

Hideez aide à défendre le cyberespace ukrainien
L'invasion russe de l'Ukraine est une bataille à la fois physique et numériqueDes deux côtés, la guerre de l'inform...
Hideez s'associe à Yubico pour aider les entreprises publiques ukrainiennes à se protéger en temps de guerre
Depuis le début de l'invasion russe, l'infrastructure numérique de l'Ukraine a été confrontée à un nombre sans précéd...
Hideez Enterprise Server reçoit la vérification CITRIX READY
Hideez Authentication Server a été approuvé comme Citrix® Ready™ et est désormais approuvé pour améliorer Citrix Appl...
Hideez Fournisseur d'identité SAML pour CyberArk PVWA
CyberArk est une société de sécurité de l'information cotée en bourse qui propose la sécurité des comptes privilégiés...