Qu’est-ce que l’authentification à deux facteurs et pourquoi est-elle utilisée?
L’authentification à deux facteurs (2FA), parfois appelée vérification en deux étapes ou authentification à deux facteurs, est un processus de sécurité dans lequel les utilisateurs fournissent deux facteurs d’authentification différents pour se vérifier.
2FA est implémenté pour mieux protéger à la fois les informations d’identification d’un utilisateur et les ressources auxquelles l’utilisateur peut accéder. L’authentification à deux facteurs offre un niveau de sécurité plus élevé que les méthodes d’authentification qui dépendent de l’authentification à un seul facteur (SFA), dans lesquelles l’utilisateur ne fournit qu’un seul facteur – généralement un mot de passe ou un code d’accès. Les méthodes d’authentification à deux facteurs reposent sur un utilisateur fournissant un mot de passe comme premier facteur et un deuxième facteur différent – généralement un jeton de sécurité ou un facteur biométrique, tel qu’une empreinte digitale ou une analyse faciale.
L’authentification à deux facteurs ajoute une couche de sécurité supplémentaire au processus d’authentification en rendant plus difficile l’accès des attaquants aux appareils ou aux comptes en ligne d’une personne car, même si le mot de passe de la victime est piraté, un mot de passe à lui seul ne suffit pas pour passer la vérification d’authentification.
L’authentification à deux facteurs a longtemps été utilisée pour contrôler l’accès aux systèmes et aux données sensibles. Les fournisseurs de services en ligne utilisent de plus en plus 2FA pour protéger les informations d’identification de leurs utilisateurs contre l’utilisation par des pirates informatiques qui ont volé une base de données de mots de passe ou utilisé des campagnes de phishing pour obtenir des mots de passe des utilisateurs.
Cet article fait partie de
Qu’est-ce que la gestion des identités et des accès ? Guide de l’IAM
- Qui comprend également:
- Comment construire une architecture IAM efficace
- 4 bonnes pratiques essentielles de gestion des identités et des accès
- 5 tendances IAM qui façonnent l’avenir de la sécurité
Quels sont les facteurs d’authentification ?
Il existe plusieurs façons d’authentifier une personne en utilisant plusieurs méthodes d’authentification. Actuellement, la plupart des méthodes d’authentification reposent sur des facteurs de connaissance, tels qu’un mot de passe traditionnel, tandis que les méthodes d’authentification à deux facteurs ajoutent un facteur de possession ou un facteur d’inhérence.
Les facteurs d’authentification, énumérés par ordre approximatif d’adoption pour le calcul, comprennent les éléments suivants:
- Un facteur de connaissance est quelque chose que l’utilisateur connaît, comme un mot de passe, un numéro d’identification personnel (NIP) ou un autre type de secret partagé.
- Un facteur de possession est quelque chose dont l’utilisateur dispose, comme une carte d’identité, un jeton de sécurité, un téléphone portable, un appareil mobile ou une application pour smartphone, pour approuver les demandes d’authentification.
- Un facteur biométrique, également appelé facteur d’inhérence, est quelque chose inhérent au moi physique de l’utilisateur. Il peut s’agir d’attributs personnels mappés à partir de caractéristiques physiques, telles que des empreintes digitales authentifiées via un lecteur d’empreintes digitales. D’autres facteurs d’inhérence couramment utilisés incluent la reconnaissance faciale et vocale ou la biométrie comportementale, telles que la dynamique de frappe, la démarche ou les modèles de parole.
- Un facteur de localisation est généralement désigné par l’emplacement à partir duquel une tentative d’authentification est effectuée. Cela peut être appliqué en limitant les tentatives d’authentification à des appareils spécifiques dans un emplacement particulier ou en suivant la source géographique d’une tentative d’authentification sur la base de l’adresse de protocole Internet source ou d’autres informations de géolocalisation, telles que les données du Système de positionnement global (GPS), dérivées du téléphone mobile de l’utilisateur ou d’un autre appareil.
- Un facteur de temps limite l’authentification de l’utilisateur à une fenêtre temporelle spécifique dans laquelle la connexion est autorisée et limite l’accès au système en dehors de cette fenêtre.
La grande majorité des méthodes d’authentification à deux facteurs reposent sur les trois premiers facteurs d’authentification, bien que les systèmes nécessitant une plus grande sécurité puissent les utiliser pour implémenter l’authentification multifacteur (MFA), qui peut s’appuyer sur deux informations d’identification indépendantes ou plus pour une authentification plus sécurisée.
Comment fonctionne l’authentification à deux facteurs ?
L’activation de l’authentification à deux facteurs varie en fonction de l’application ou du fournisseur spécifique. Cependant, les processus d’authentification à deux facteurs impliquent le même processus général en plusieurs étapes:
- L’utilisateur est invité à se connecter par l’application ou le site Web.
- L’utilisateur entre ce qu’il sait – généralement, nom d’utilisateur et mot de passe. Ensuite, le serveur du site trouve une correspondance et reconnaît l’utilisateur.
- Pour les processus qui ne nécessitent pas de mots de passe, le site Web génère une clé de sécurité unique pour l’utilisateur. L’outil d’authentification traite la clé et le serveur du site la valide.
- Le site invite ensuite l’utilisateur à lancer la deuxième étape de connexion. Bien que cette étape puisse prendre un certain nombre de formes, l’utilisateur doit prouver qu’il n’a que quelque chose qu’il aurait, comme la biométrie, un jeton de sécurité, une carte d’identité, un smartphone ou un autre appareil mobile. C’est le facteur d’inhérence ou de possession.
- Ensuite, l’utilisateur peut avoir à entrer un code à usage unique qui a été généré lors de la quatrième étape.
- Après avoir fourni les deux facteurs, l’utilisateur est authentifié et autorisé à accéder à l’application ou au site Web.
Éléments d’authentification à deux facteurs
L’authentification à deux facteurs est une forme d’AMF. Techniquement, il est utilisé chaque fois que deux facteurs d’authentification sont nécessaires pour accéder à un système ou à un service. Cependant, l’utilisation de deux facteurs de la même catégorie ne constitue pas 2FA. Par exemple, exiger un mot de passe et un secret partagé est toujours considéré comme SFA car ils appartiennent tous deux au type de facteur d’authentification des connaissances.
En ce qui concerne les services SFA, les noms d’utilisateur et les mots de passe ne sont pas les plus sécurisés. Un problème avec l’authentification par mot de passe est qu’elle nécessite des connaissances et de la diligence pour créer et mémoriser des mots de passe forts. Les mots de passe nécessitent une protection contre de nombreuses menaces internes, telles que des notes autocollantes stockées négligemment avec des identifiants de connexion, d’anciens disques durs et des exploits d’ingénierie sociale. Les mots de passe sont également la proie de menaces externes, telles que les pirates utilisant des attaques par force brute, par dictionnaire ou par table arc-en-ciel.
Avec suffisamment de temps et de ressources, un attaquant peut généralement violer des systèmes de sécurité basés sur des mots de passe et voler des données d’entreprise. Les mots de passe sont restés la forme la plus courante de SFA en raison de leur faible coût, de leur facilité de mise en œuvre et de leur familiarité.
Plusieurs questions de réponse au défi peuvent fournir plus de sécurité, selon la façon dont elles sont mises en œuvre, et des méthodes de vérification biométrique autonomes peuvent également fournir une méthode plus sûre de SFA.
Types de produits d’authentification à deux facteurs
Il existe de nombreux dispositifs et services différents pour la mise en œuvre de 2FA –, des jetons aux cartes d’identification par radiofréquence (RFID) en passant par les applications pour smartphones.
Les produits d’authentification à deux facteurs peuvent être divisés en deux catégories:
- les jetons qui sont donnés aux utilisateurs à utiliser lors de la connexion ; et
- infrastructure ou logiciel qui reconnaît et authentifie l’accès pour les utilisateurs qui utilisent correctement leurs jetons.
Les jetons d’authentification peuvent être des périphériques physiques, tels que des porte-clés ou des cartes à puce, ou ils peuvent exister dans des logiciels sous forme d’applications mobiles ou de bureau générant des codes PIN pour l’authentification. Ces codes d’authentification, également appelés mots de passe à usage unique (OTP), sont généralement générés par un serveur et peuvent être reconnus comme authentiques par un appareil d’authentification ou une application. Le code d’authentification est une courte séquence liée à un appareil, un utilisateur ou un compte particulier et ne peut être utilisé qu’une seule fois dans le cadre d’un processus d’authentification.
Les organisations doivent déployer un système pour accepter, traiter et autoriser ou refuser l’accès aux utilisateurs qui s’authentifient avec leurs jetons. Cela peut être déployé sous la forme d’un logiciel serveur ou d’un serveur matériel dédié, ainsi que fourni en tant que service par un fournisseur tiers.
Un aspect important de 2FA est de s’assurer que l’utilisateur authentifié a accès à toutes les ressources pour lesquelles l’utilisateur est approuvé et uniquement à ces ressources. En conséquence, une fonction clé de 2FA relie le système d’authentification aux données d’authentification d’une organisation. Microsoft fournit une partie de l’infrastructure nécessaire aux organisations pour prendre en charge 2FA dans Windows 10 via Windows Hello, qui peut fonctionner avec des comptes Microsoft, ainsi que pour authentifier les utilisateurs via Microsoft Active Directory, Azure AD ou Fast IDentity Online (FIDO).
Fonctionnement des jetons matériels 2FA
Des jetons matériels pour 2FA sont disponibles prenant en charge différentes approches d’authentification. Un jeton matériel populaire est le YubiKey, un petit périphérique USB (Universal Serial Bus) qui prend en charge les OTP, le cryptage et l’authentification à clé publique et le protocole universel 2nd Factor développé par la FIDO Alliance. Les jetons YubiKey sont vendus par Yubico Inc., basé à Palo Alto, Californie.
Lorsque les utilisateurs avec un YubiKey se connectent à un service en ligne prenant en charge les OTP – tels que Gmail, GitHub ou WordPress – ils insèrent leur YubiKey dans le port USB de leur appareil, entrent leur mot de passe, cliquent dans le champ YubiKey et touchent le bouton YubiKey. Le YubiKey génère un OTP et l’entre sur le terrain.
L’OTP est un mot de passe à usage unique de 44 caractères ; les 12 premiers caractères sont un identifiant unique qui représente la clé de sécurité enregistrée auprès du compte. Les 32 caractères restants contiennent des informations chiffrées à l’aide d’une clé connue uniquement de l’appareil et des serveurs de Yubico, établie lors de l’enregistrement initial du compte.
L’OTP est envoyé du service en ligne à Yubico pour vérification d’authentification. Une fois l’OTP validé, le serveur d’authentification Yubico renvoie un message confirmant qu’il s’agit du bon jeton pour cet utilisateur. 2FA est terminé. L’utilisateur a fourni deux facteurs d’authentification: le mot de passe est le facteur de connaissance et le YubiKey est le facteur de possession.
Authentification à deux facteurs pour les appareils mobiles
Les smartphones offrent une variété de fonctionnalités 2FA, permettant aux entreprises d’utiliser ce qui leur convient le mieux. Certains appareils peuvent reconnaître les empreintes digitales, utiliser la caméra intégrée pour la reconnaissance faciale ou la numérisation de l’iris et utiliser le microphone pour la reconnaissance vocale. Les smartphones équipés de GPS peuvent vérifier l’emplacement comme facteur supplémentaire. La voix ou le service de messages courts (SMS) peuvent également être utilisés comme canal pour l’authentification hors bande.
Un numéro de téléphone de confiance peut être utilisé pour recevoir des codes de vérification par message texte ou appel téléphonique automatisé. Un utilisateur doit vérifier au moins un numéro de téléphone de confiance pour s’inscrire à mobile 2FA.
Apple iOS, Google Android et Windows 10 ont tous des applications prenant en charge 2FA, permettant au téléphone lui-même de servir d’appareil physique pour satisfaire le facteur de possession. Duo Security, basé à Ann Arbor, Mich., et acheté par Cisco en 2018 pour 2,35 milliards de dollars, dispose d’une plate-forme qui permet aux clients d’utiliser leurs appareils de confiance pour 2FA. La plate-forme de Duo établit d’abord qu’un utilisateur est approuvé avant de vérifier que l’appareil mobile peut également être approuvé comme facteur d’authentification.
Les applications d’authentification remplacent la nécessité d’obtenir un code de vérification par SMS, appel vocal ou e-mail. Par exemple, pour accéder à un site Web ou à un service Web prenant en charge Google Authenticator, les utilisateurs tapent leur nom d’utilisateur et leur mot de passe – un facteur de connaissance. Les utilisateurs sont ensuite invités à entrer un numéro à six chiffres. Au lieu de devoir attendre quelques secondes pour recevoir un message texte, un authentificateur génère le numéro pour eux. Ces numéros changent toutes les 30 secondes et sont différents pour chaque connexion. En entrant le bon numéro, les utilisateurs terminent le processus de vérification et prouvent la possession du bon appareil – un facteur de propriété.
Ces produits et d’autres produits 2FA offrent des informations sur la configuration système minimale requise pour implémenter 2FA.
Notifications push pour 2FA
Une notification push est une authentification sans mot de passe qui vérifie un utilisateur en envoyant une notification directement à une application sécurisée sur l’appareil de l’utilisateur, alertant l’utilisateur qu’une tentative d’authentification se produit. L’utilisateur peut afficher les détails de la tentative d’authentification et approuver ou refuser l’accès – généralement, en un seul clic. Si l’utilisateur approuve la demande d’authentification, le serveur reçoit cette demande et connecte l’utilisateur à l’application Web.
Les notifications push authentifient l’utilisateur en confirmant que l’appareil enregistré auprès du système d’authentification – généralement un appareil mobile – est en sa possession. Si un attaquant compromet l’appareil, les notifications push sont également compromises. Les notifications push éliminent les menaces telles que les attaques de l’homme du milieu, les accès non autorisés et les attaques d’ingénierie sociale.
Bien que les notifications push soient plus sécurisées que les autres méthodes d’authentification, il existe toujours des risques de sécurité. Par exemple, les utilisateurs peuvent approuver accidentellement une demande d’authentification frauduleuse car ils ont l’habitude d’appuyer sur Approuver lorsqu’ils reçoivent des notifications push.
L’authentification à deux facteurs est-elle sécurisée ?
Bien que l’authentification à deux facteurs améliore la sécurité, les schémas 2FA ne sont aussi sécurisés que leur composant le plus faible. Par exemple, les jetons matériels dépendent de la sécurité de l’émetteur ou du fabricant. L’un des cas les plus médiatisés d’un système à deux facteurs compromis s’est produit en 2011 lorsque la société de sécurité RSA Security a signalé que ses jetons d’authentification SecurID avaient été piratés.
Le processus de récupération de compte lui-même peut également être détourné lorsqu’il est utilisé pour vaincre l’authentification à deux facteurs, car il réinitialise souvent le mot de passe actuel d’un utilisateur et envoie un mot de passe temporaire par e-mail pour permettre à l’utilisateur de se reconnecter, en contournant le processus 2FA. Les comptes Gmail commerciaux du directeur général de Cloudflare ont été piratés de cette manière.
Bien que le 2FA basé sur SMS soit peu coûteux, facile à mettre en œuvre et considéré comme convivial, il est vulnérable à de nombreuses attaques. Le National Institute of Standards and Technology (NIST) a déconseillé l’utilisation de SMS dans les services 2FA dans sa Publication spéciale 800-63-3: Directives sur l’identité numérique. Le NIST a conclu que les OTP envoyés par SMS sont trop vulnérables en raison des attaques de portabilité des numéros de téléphone mobile, des attaques contre le réseau de téléphonie mobile et des logiciels malveillants pouvant être utilisés pour intercepter ou rediriger des messages texte.
Avenir de l’authentification
Les environnements qui nécessitent une sécurité accrue peuvent être intéressés par l’authentification à trois facteurs, qui implique généralement la possession d’un jeton physique et d’un mot de passe utilisé conjointement avec des données biométriques, telles que des analyses d’empreintes digitales ou des empreintes vocales. Des facteurs tels que la géolocalisation, le type d’appareil et l’heure de la journée sont également utilisés pour déterminer si un utilisateur doit être authentifié ou bloqué. De plus, les identifiants biométriques comportementaux, tels que la longueur de frappe d’un utilisateur, la vitesse de frappe et les mouvements de la souris, peuvent également être surveillés discrètement en temps réel pour fournir une authentification continue au lieu d’une seule vérification d’authentification unique lors de la connexion.
S’appuyer sur les mots de passe comme principale méthode d’authentification, bien que courante, n’offre souvent plus la sécurité ou l’expérience utilisateur que les entreprises et leurs utilisateurs exigent. Et, même si les outils de sécurité hérités, tels qu’un gestionnaire de mots de passe et un MFA, tentent de résoudre les problèmes des noms d’utilisateur et des mots de passe, ils dépendent d’une architecture essentiellement obsolète : la base de données de mots de passe.
Par conséquent, de nombreuses organisations se tournent vers l’authentification sans mot de passe. L’utilisation de méthodes telles que la biométrie et les protocoles sécurisés permet aux utilisateurs de s’authentifier en toute sécurité dans leurs applications sans avoir à saisir de mots de passe. En entreprise, cela signifie que les employés peuvent accéder à leur travail sans avoir à saisir de mots de passe et qu’ils conservent un contrôle total sur chaque connexion. L’utilisation de la blockchain, par exemple, via une identité décentralisée ou une identité auto-souveraine, attire également l’attention en tant qu’alternative aux méthodes d’authentification traditionnelles.