L’un des mots que nous lançons beaucoup lorsque nous parlons de sécurité de l’information est l’authentification.
Qu’est-ce que l’authentification ?
En sécurité, l’authentification est le processus de vérification si quelqu’un (ou quelque chose) est, en fait, qui (ou quoi) il est déclaré être.
Authentification: Vérifier l’identité d’un utilisateur, d’un processus ou d’un appareil, souvent comme condition préalable à l’accès aux ressources d’un système d’information.
Définition de CSRC NIST
Que vous vous connectiez à votre système informatique au bureau, que vous vérifiiez le solde de votre compte sur le site Web de votre banque ou que vous consultiez vos flux de médias sociaux préférés, le processus d’authentification aide ces sites à déterminer que vous êtes la bonne personne qui tente d’y accéder.
La valeur de l’authentification
Ayant grandi dans une petite ville, une personne aurait pu entrer dans sa banque locale et le caissier l’aurait reconnue. C’est l’une des méthodes utilisées par les caissiers pour savoir que la personne qui a pu déposer et retirer des fonds de leur compte était la bonne personne.
Aujourd’hui, nous nous connectons au site Web de notre banque nationale, et il n’y a pas de caissier qui nous salue par son nom. D’autres méthodes d’authentification sont nécessaires. Lorsque vous authentifiez votre compte, vous établissez votre identité et informez le site auquel vous essayez d’accéder que vous êtes en fait la personne que vous dites être.
Ce processus d’établissement de votre identité pour accéder à un système se déroule généralement en deux étapes: vous devez d’abord vous identifier (identifiant d’utilisateur, numéro de compte ou adresse e-mail), puis vous devez prouver que vous êtes qui vous dites être (vous authentifier).
En fin de compte, cela diminue les chances qu’un imitateur ait accès à des informations sensibles qui ne lui appartiennent pas.
Façons d’authentifier
Quelque chose que vous êtes
Cela a tendance à être le plus fort et le plus difficile à craquer — il n’est pas facile de reproduire un balayage de l’iris ou de dupliquer une empreinte digitale. Cependant, la technologie pour déployer ce type d’authentification est coûteuse et ne se traduit pas facilement par toutes les façons dont nous accédons aux ressources. Nous commençons à voir plus d’adoption de cette méthode d’authentification (pensez à Face ID dans les iPhones), mais nous sommes à des années de faire de sérieux progrès.
Quelque chose que vous avez
Cela est devenu de plus en plus populaire compte tenu de notre réticence générale à se détacher de nos téléphones mobiles. Ce type de contrôle d’accès prend généralement la forme d’une clé de jeton unique que vous obtenez d’une source externe (une clé, votre e-mail, un message texte ou une application d’authentification). Traditionnellement, fournir aux utilisateurs l’appareil qui délivre la clé de jeton a été le plus dissuasif pour un déploiement plus large, mais aujourd’hui, la plupart des utilisateurs disposant d’appareils intelligents toujours disponibles, la méthode d’authentification something you have gagne du terrain.
Quelque chose que vous connaissez
L’exemple le plus courant de ceci est nos mots de passe — aucun matériel spécial nécessaire pour les bio-analyses, aucun outil supplémentaire nécessaire pour fournir des codes secrets. C’est pourquoi il est si important de créer des mots de passe difficiles à deviner. Dans la plupart des situations, votre mot de passe est la seule information que d’autres personnes ne connaissent pas et le seul moyen pour vous de protéger vos informations.
Garder vos Informations d’authentification privées et solides
En revisitant le scénario d’une petite banque locale, si un de vos amis devait se rendre au guichet et essayer de présenter un bordereau de retrait pour votre compte, le guichet serait en mesure de dire qu’il ne s’agissait pas de vous et de refuser la transaction.
Mais si ce même ami tentait de se connecter à votre compte bancaire actuel avec mon nom d’utilisateur et mon mot de passe, le site ne les empêcherait pas de le faire. « Vouliez-vous vous connecter à votre propre site, au lieu de celui de votre ami?”
La plate-forme ne peut pas faire la différence. Ayant la bonne combinaison, il accepterait le nom d’utilisateur et le mot de passe, que ce soit la bonne personne ou non.
Par conséquent, il est impératif que vous conserviez toute information potentiellement identifiante ou tout appareil d’authentification pour vous.
Qu’En Est-Il De L’Authentification À Deux Facteurs ?
L’authentification multifactorielle (MFA) est une très bonne chose. MFA combine deux méthodes d’authentification différentes (un mot de passe et un jeton) pour fournir une plus grande sécurité lors de la preuve de votre identité.
En continuant avec notre exemple de compte bancaire en ligne, si une amie avait deviné le mot de passe de votre compte mais que l’authentification MFA était activée, elle se verrait refuser l’accès à moins qu’elle n’ait également mon téléphone portable, qu’elle connaisse le code PIN pour accéder au téléphone et qu’elle ait pu extraire le code à usage unique nécessaire comme deuxième méthode de vérification.
Il en va de même pour les attaquants. S’ils sont en mesure de déchiffrer vos informations d’identification utilisateur et que la MFA est activée, ils sont plus que susceptibles d’être arrêtés juste avant l’accès.
De nombreuses organisations ont désormais besoin de l’AMF pour établir une connexion à leur réseau et à leurs programmes — une décision intelligente pour vous protéger au cas où vos informations d’identification seraient compromises.
Si l’un de vos systèmes sécurisés offre une AMF, je vous encourage à activer ce service pour assurer une plus grande sécurité de vos informations personnelles.
L’authentification est devenue une pratique utile pour protéger les informations tant pour les entreprises que pour les personnes. Des mots de passe forts, de bonnes habitudes de partage et des outils d’AMF sont autant de moyens de protéger vos comptes et vos réseaux contre les compromis.
Pour plus de conseils et astuces sur la prévention des attaques sur votre réseau, ou pour travailler avec un fournisseur de sécurité pour améliorer les pratiques de sécurité de votre entreprise, visitez la page frsecure.com .
