Un mot de passe seul n’est pas suffisant !
Tout d’abord, elle est vulnérable aux attaques de force brute. Les cybercriminels utilisent des programmes informatiques permettant de tester différentes combinaisons jusqu’à trouver la bonne. Si votre mot de passe est découvert, ils pourront accéder librement à votre compte et aux données qu’il contient.
Dans certains cas, l’utilisation d’un programme n’est même pas nécessaire. Si votre mot de passe contient des informations personnelles, telles qu’une date d’anniversaire, le nom de son animal de compagnie… il sera d’autant plus simple et plus rapide à deviner !
L’authentification à facteur unique peut être également la cible d’attaques phishing. Les cybercriminels utilisent des techniques d’ingénierie sociale pour créer e-mail convaincant, incitant ainsi leurs victimes à dévoiler leurs informations authentifications.
Qu’est-ce que l’authentification multifacteur ?
Cette approche multifactorielle ajoute une seconde couche de protection. Si votre mot de passe a été compromis, le cybercriminel se heurtera à une deuxième étape d’authentification, différente de la première, qui bloquera la tentative de compromission.
Chaque facteur d’authentification doit appartenir à une catégorie de facteur différente :
-
- Facteur de connaissance : « ce que je sais », les utilisateurs prouvent leur identité en révélant des informations qu’eux seuls connaissent. Cela peut correspondre à un mot de passe, un code secret, une phrase de passe, etc.
-
- Facteur de possession : « ce que je possède », les utilisateurs s’identifient grâce à un élément secret non-mémorisable stocké sur un objet physique. Cela peut être un smartphone, une carte à puce, un clé USB, les jetons de sécurité, etc.
-
- Facteur inhérent : « ce que je suis », il s’agit de quelque chose intrinsèquement lié à utilisateur, comme son empreinte digitale, sa voix ou même son comportement de frappe au clavier.
Pourquoi privilégier l’authentification multifacteur ?
D’autant plus que le piratage de compte représente une menace majeure pour les entreprises françaises. Selon le rapport d’activité 2023 de cybermalveillance.gouv.fr, le piratage de compte occupe le premier rang des recherches d’assistance des entreprises et des associations. Une hausse de 26% a été enregistrée comparé à l’année précédente.
L’ANSSI*, l’autorité française chargée de la cybersécurité du territoire, recommande l’intégration de l’authentification multifacteur. Elle encourage particulièrement son utilisation pour protéger les comptes renfermant des informations sensibles, tels que les messageries professionnelles, les comptes d’administration des systèmes, les comptes bancaires…
Alors, lorsque la fonctionnalité d’authentification multifacteur vous est proposée, activez-la sans hésiter !
Qu’appelle-t-on l’authentification adaptative multifactorielle ?
-
-
- Le nombre de tentatives de connexion
- L’emplacement géographique de l’utilisateur
- Le type d’appareil utilisé pour se connecter
- Le jour et l’heure de la tentative de connexion
- Le rôle de l’utilisateur…
-
Par exemple, si un utilisateur tente de se connecter à partir d’un nouvel appareil ou d’un emplacement inhabituel, le système peut exiger des facteurs d’authentification supplémentaires pour vérifier son identité.
Lire aussi : Le gestionnaire de mot de passe, votre allié cybersécurité
Même avec l’authentification multifacteur, maintenez votre vigilance !
Une nouvelle forme d’attaque visant l’authentification multifacteur s’est particulièrement développé ses dernières années. Elle est appelée le MFA Bombing ou MFA Fatigue. Cette cyberattaque consiste à submerger un utilisateur de demandes d’authentification afin qu’il n’accorde plus toute son attention et qu’il finisse par valider mécaniquement la demande.
Le MFA Bombing se base sur des techniques d’ingénierie sociale pour exploiter les biais cognitifs du cerveau humain et les pousser à l’erreur. Ces attaques par lassitude doivent faire l’objet d’une session de sensibilisation auprès de vos équipes afin de réduire les risques de sécurité qui y sont liés.
*ANSSI = Agence National de la Sécurité des Systèmes d’Information.
Source : Guide ANSSI – recommandation relatives à l’authentification multifacteur et aux mots de passe