Au fur et à mesure que la vague de travail à distance progresse, les entreprises ont dû faire face à de nouveaux défis en matière de cybersécurité, dont l’un est l’authentification. La dépendance des employés à l’égard des moyens d’authentification traditionnels tels que les mots de passe et les secrets partagés a été un fardeau pour les entreprises en raison de la ils sont faciles à pirater et à intercepter. Voici comment le travail à distance conduit à l’adoption de méthodes d’authentification plus sécurisées.
L’authentification par mot de passe ne vérifie pas l’identité, mais uniquement la connaissance des informations de connexion, ce qui pose plus de problèmes lorsque les employés travaillent à domicile.
Les conséquences d’une cyberattaque à partir d’un mot de passe divulgué, volé ou partagé peuvent être désastreuses; un pirate informatique pourrait lancer une attaque très sophistiquée contre vous ou votre entreprise, causant de graves dommages à court et à long terme. Cela pourrait entraîner de graves implications financières et juridiques et, dans le pire des cas, une attaque malveillante pourrait même saboter votre entreprise et ses opérations à un point tel qu’elle ne pourra peut-être jamais se rétablir.. –Misan Etchie
Défis d’authentification hérités
La racine du problème est la suivante: les mots de passe n’étaient pas initialement conçus pour prouver l’identité. Le premier mot de passe de l’ordinateur a été inventé afin d’attribuer du temps aux chercheurs du MIT pour l’utilisation d’un ordinateur central: le système compatible de partage de temps (CTSS).
Les mots de passe n’étaient pas conçus pour sécuriser de larges populations d’utilisateurs composées de personnes inconnues du fournisseur de services; il n’est donc pas surprenant que les lacunes des mots de passe conduisent à la majorité des violations de données.
Première cause de violation de données
Selon rapports de gouvernance informatique, un mauvais comportement des mots de passe est la première cause des violations de données. Les mots de passe sont tout simplement trop difficiles à gérer et les mauvaises habitudes de mot de passe sont rationnelles en raison de la difficulté à stocker plusieurs mots de passe complexes. Malgré cela, les mots de passe sont dominants dans la vie personnelle et professionnelle de la personne moyenne.
Des révélations comme celle-ci sous-tendent le plaidoyer pour des systèmes d’authentification sans mot de passe. Étant tellement habitué aux mots de passe, à première vue, il semble qu’il n’y ait aucun moyen de garantir une meilleure sécurité sans mots de passe. Les modèles d’authentification basés sur les connaissances sont vulnérables au vol et aux fuites.
La vague de violations de données souligne le problème des modèles d’authentification basés sur les connaissances.
Par exemple, de nombreux comptes de célébrités ont été piratés l’année dernière après le lancement de pirates informatiques (aljazeeradotcom), une série d’attaques de spear-phishing contre des employés. Cela suffit pour conclure que les mots de passe ne sont pas une preuve d’identité.
La montée des pirates à distance
L’un des défis des espaces de travail distribués, en ce qui concerne la cybersécurité, est l’assurance d’identité. Attention, un nom d’utilisateur et un mot de passe ne peuvent pas vérifier l’identité de qui que ce soit, mais uniquement la connaissance d’un utilisateur. Ceci est particulièrement désastreux lorsque 75% des salariés ne vous souciez pas des mesures de confidentialité lorsque vous travaillez à distance dans un lieu public, ce qui les rend plus vulnérables aux cyberattaques.
Les hameçonneurs distants
Selon un article publié par Le journal des affaires, le travail à distance a ouvert la porte à des cyberattaques telles que les escroqueries par hameçonnage, les ransomwares et autres risques et violations. Les pirates informatiques sont conscients qu’en raison de l’incapacité des employés à travailler dans des espaces partagés, ils se connecteront aux serveurs et aux autres ressources de leur entreprise d’une manière très différente.
À tout le moins, ils le font dans un cadre sans surveillance par les pairs ou officielle.
La combinaison de protocoles de sécurité médiocres et de travailleurs complaisants travaillant à domicile rend les employés beaucoup plus vulnérables aux cyberattaques. Maintenant que nous avons un environnement extrêmement dangereux et volatile en termes de cybersécurité, les pirates informatiques exploitent déjà l’opportunité d’attaquer des entreprises non préparées.
Combien de hacks pouvez-vous éviter par jour?
Il y a plus de 2600 menaces détectées par jour selon Recherche de point de contrôle, et 90% des professionnels de l’informatique qui prétendent avoir été témoins d’une sorte d’attaque de phishing contre leur organisation depuis que le travail à distance est devenu plus courant.
L’adaptation à ce qui est – fait partie de la pensée critique. S’adapter aux circonstances actuelles est la survie.
Ce moment – est un moment critique de l’histoire dans lequel les dirigeants doivent s’adapter rapidement aux circonstances actuelles. Nous n’avons jamais eu auparavant un environnement aussi dangereux à protéger, il n’est donc pas surprenant que les pirates informatiques profitent de la pandémie mondiale.
Il est essentiel que les entreprises et les entreprises agissent maintenant, en se protégeant elles-mêmes et leurs employés contre d’éventuelles cyberattaques.
Authentification continue
Le problème avec les modèles d’authentification hérités est que même les sessions de connexion légitimes peuvent être détournées sans aucun soupçon. Un accès unique permet aux pirates de lancer des attaques subtiles.
L’authentification continue résout ce problème en utilisant des informations contextuelles pour effectuer la vérification d’identité. Si les modèles d’authentification traditionnels peuvent être décrits comme actifs, alors l’authentification continue est passive.
Le mode d’emploi de l’authentification continue
Le système d’authentification continue fonctionne en arrière-plan, analysant les informations telles que les métadonnées, l’emplacement et le comportement de connexion (biométrie comportementale) pour garantir l’intégrité de toute session d’accès. L’authentification examine les activités des utilisateurs pour vérifier qu’elles sont cohérentes avec le modèle de comportement établi de l’utilisateur ainsi qu’avec la politique de cybersécurité et de risque de l’entreprise.
Par exemple, un système d’authentification continue peut automatiquement déconnecter un utilisateur s’il se connecte à un autre réseau qui peut être considéré comme dangereux. À une époque où les employés travaillent en dehors des quatre murs du bureau, l’authentification continue (parfois associée à des systèmes d’apprentissage automatique) comble le fossé de confiance créé par le travail à distance.
De plus, l’authentification continue améliore la cyberdéfense, en particulier dans l’évaluation des menaces et la détection des incidents. En conservant des enregistrements des activités de connexion des utilisateurs, les analystes disposent de données avec lesquelles travailler pour tracer la source d’une menace ou d’une attaque.
Biométrie
Les modèles d’authentification basés sur les connaissances ne vérifient pas l’identité. Seuls les systèmes basés sur l’héritage (comme la biométrie) sont directement liés à l’identité d’un utilisateur. Les données biométriques (empreinte digitale, voix, visage, rétine, iris, etc.) ne sont pas transférables. Il y a peu à craindre en termes d’identifiants volés ou violés, en particulier lorsque l’authentification biométrique utilise une détection de vivacité telle que l’obligation de parler, de lire une phrase, de sourire, de hocher la tête ou de cligner des yeux.
Qui a votre empreinte digitale?
Il y a une chance sur 64 milliards que quelqu’un possède les empreintes digitales d’une autre personne. Avec une population mondiale d’environ 7,5 milliards d’habitants, dont une grande partie ne sont pas des utilisateurs, le piratage d’un système biométrique devient pratiquement impossible. Les avantages de l’utilisation des méthodes d’authentification biométrique sont nombreux, principalement en raison de leur commodité et de la façon dont ils évitent aux employés de transporter des jetons et des clés matérielles ou de se souvenir de mots de passe complexes.
Récemment, les smartphones ont opté par défaut pour l’identification biométrique (empreintes digitales, identification du visage, etc.), et les ordinateurs portables et autres postes de travail emboîtent déjà le pas. Ainsi, la mise en œuvre de l’authentification biométrique pour les employés d’une entreprise n’est plus aussi coûteuse qu’elle l’était.
Les gens peuvent se connecter uniquement aux applications de leurs téléphones et ordinateurs via les empreintes digitales et la reconnaissance faciale, comme ils le font sur les appareils mobiles courants que la plupart des gens possèdent. Des technologies telles que Windows Hello, LastPass et IBM Security Verify aident les entreprises à mettre en œuvre de manière pratique la vérification d’identité tenant compte des risques.
Autres problèmes d’authentification sans mot de passe
Même si une organisation n’est pas prête à se débarrasser entièrement des mots de passe, il est logique de ne pas se fier uniquement aux mots de passe.
L’authentification multifacteur (MFA) entre en jeu, sans se fier uniquement aux mots de passe, créant des couches supplémentaires de vérification d’identité pour renforcer la sécurité en authentifiant les utilisateurs sur plus d’un critère: ce que vous savez, ce que vous avez et qui vous êtes.
Selon un Rapport de sécurité Microsoft, MFA réduit les chances de compromis de 99,9%. En revanche, il est possible d’éliminer complètement les mots de passe dans MFA, par exemple lors de la combinaison de la vérification biométrique avec des jetons.
Les clés cryptographiques uniques générées par ordinateur font un meilleur travail pour sécuriser les utilisateurs que les mots de passe. En effet, les jetons matériels sont utilisés depuis près de deux décennies maintenant. Cependant, ils sont coûteux et difficiles à mettre en œuvre et à entretenir. Viennent ensuite les jetons logiciels. Bien que la plupart soient utilisés comme option d’authentification de second facteur, ils peuvent même remplacer entièrement les mots de passe.
Conclusion
L’année dernière a été marquée par des perturbations massives dans la façon dont les entreprises font des affaires, la façon dont les employés travaillent et la façon dont les organisations se protègent contre les cyberattaques. À la lumière des méthodes d’authentification plus sécurisées qui ont émergé, les mots de passe représentent les liens d’authentification les plus faibles et ne doivent pas être utilisés sans un second facteur sans mot de passe.
Les hackers essaieront toujours d’attaquer vos employés: le maillon le plus faible de votre infrastructure de sécurité. Par conséquent, il est essentiel que les employeurs et les entreprises sensibilisent leurs employés à garder un bon comportement de mot de passe.
Il est de plus en plus clair que les mots de passe sont plus un fardeau qu’un outil de sécurité. À l’avenir, on peut anticiper l’élimination complète des mots de passe dans l’authentification des utilisateurs et leur remplacement par des méthodes d’authentification plus sûres et plus pratiques.
Avec la montée en puissance des pirates à distance qui profitent de la situation mondiale actuelle, nous verrons des méthodes d’authentification plus sécurisées augmenter à mesure que de plus en plus d’entreprises commenceront à prendre leur sécurité en considération.
Crédit d’image: sora shimaza; pexels
L’article Comment le travail à distance favorise l’adoption de méthodes d’authentification plus sécurisées est apparu en premier sur zimo news.