Les développeurs d’applications et de sites Web d’entreprise devront se familiariser avec les mots de passe : le Centre national de cybersécurité du Royaume-Uni les recommande pour leur résistance au phishing et à la réutilisation des informations d’identification, et prévient que les mots de passe sont intrinsèquement vulnérables.
Le National Cyber Security Centre (NCSC) du Royaume-Uni recommande les mots de passe comme méthode d’authentification par défaut que les entreprises proposent aux consommateurs, citant les progrès de l’industrie qui en font désormais une alternative plus sûre et plus conviviale aux mots de passe.
Dans un article de blog publié cette semaine, l’agence a déclaré que les mots de passe peuvent désormais être recommandés au public et aux entreprises comme méthode d’authentification principale.
« Les mots de passe devraient désormais être le premier choix des consommateurs pour se connecter », a déclaré l’autorité britannique de cybersécurité dans un article de blog, ajoutant que les mots de passe ne sont « plus assez résilients pour le monde contemporain ».
« Les clés d’accès sont une méthode plus récente pour se connecter aux comptes en ligne qui font l’essentiel du travail pour les utilisateurs, ne nécessitant que l’approbation de l’utilisateur plutôt que de devoir saisir un mot de passe. Cela rend les clés d’accès plus rapides et plus faciles à utiliser et plus difficiles à compromettre pour les cyber-attaquants », a ajouté le NCSC dans le blog.
L’agence a déclaré que les mots de passe devraient être utilisés partout où ils sont pris en charge, les décrivant comme résistants au phishing et éliminant les risques associés à la réutilisation des mots de passe.
Focus sur l’authentification résistante au phishing
Les directives sont basées sur l’évaluation de l’agence sur la façon dont les méthodes d’authentification fonctionnent contre les attaques du monde réel.
Le NCSC a déclaré que son analyse examine les techniques courantes, notamment le phishing, la réutilisation des informations d’identification et le détournement de session, et évalue la manière dont les informations d’identification sont exposées tout au long de leur cycle de vie, depuis leur création et leur stockage jusqu’à leur utilisation.
« Les clés d’accès résistent aux attaques de phishing et suppriment les risques associés à la réutilisation des mots de passe », a déclaré l’agence.
Dans le document technique qui l’accompagne, le NCSC déclare que les méthodes d’authentification traditionnelles, notamment les mots de passe combinés à des codes à usage unique, restent « intrinsèquement phishables ».
En revanche, les informations d’identification basées sur FIDO2, telles que les clés d’accès, sont « aussi sécurisées, voire plus, que la MFA traditionnelle contre toutes les attaques d’informations d’identification courantes observées dans la nature », a déclaré l’agence.
Cependant, le NCSC a averti dans le document technique que « même si une grande partie de l’analyse de ce document s’applique également aux scénarios d’authentification d’entreprise (par exemple le personnel s’authentifiant auprès d’un Single Sign On), les différents modèles de menace et scénarios d’utilisation signifient que ce document n’est pas destiné à l’évaluation des risques d’entreprise ».
Comment les mots de passe changent le modèle d’attaque
Le NCSC a ajouté que les clés d’accès réduisent les risques en supprimant le recours aux secrets partagés et en liant l’authentification au service légitime.
Selon l’agence, cela empêche la réutilisation des informations d’identification et les attaques par relais, car l’authentification ne peut pas être interceptée et réutilisée par un attaquant.
Les clés d’accès utilisent des paires de clés cryptographiques stockées sur l’appareil d’un utilisateur, avec une authentification liée à une vérification basée sur l’appareil telle que la biométrie ou les codes PIN, a indiqué l’agence.
Changement dans l’authentification au niveau de l’utilisateur
Pour les organisations qui fournissent des services en ligne à leurs clients, les directives signalent un changement dans la manière dont l’authentification est mise en œuvre au niveau de l’interface utilisateur.
« Il s’agit d’un changement architectural fondamental, et non d’une mise à niveau incrémentielle de l’authentification », a déclaré Madelein van der Hout, analyste senior chez Forrester. « Cela amène les organisations au-delà du paradigme mots de passe plus MFA vers une base résistante au phishing. »
Van der Hout a déclaré que les clés d’accès éliminent les risques associés au vol d’informations d’identification en utilisant l’authentification cryptographique liée à l’appareil plutôt que les secrets partagés.
« Les organisations qui traitent cela comme un échange de titres de compétences sous-investiront », a-t-elle déclaré. « Ceux qui y voient une opportunité plus large de modernisation de l’identité iront de l’avant. »
Le NCSC a déclaré que les organisations devraient également réfléchir à la manière dont l’authentification est mise en œuvre tout au long du parcours utilisateur, y compris les mécanismes de récupération de compte et de secours.
Bien que les clés d’accès réduisent le recours aux mots de passe, l’agence a noté que des processus plus faibles, tels que la réinitialisation des mots de passe ou les flux de récupération de compte, peuvent toujours présenter des risques s’ils ne sont pas correctement sécurisés.
Les défis de l’adoption demeurent
Le NCSC a déclaré que les clés d’accès ne sont pas encore universellement prises en charge et recommande des gestionnaires de mots de passe et une authentification multifacteur lorsque les clés d’accès ne peuvent pas être utilisées.
« Lorsqu’un service particulier ne prend pas en charge les mots de passe, le conseil du NCSC aux consommateurs est d’utiliser un gestionnaire de mots de passe pour créer des mots de passe plus forts et de continuer à utiliser la vérification en deux étapes », a noté le NCSC dans le billet de blog.
Van der Hout a déclaré que des défis de mise en œuvre sont probables, en particulier pour les organisations opérant sur plusieurs plates-formes et environnements d’utilisateurs.
« Les systèmes existants et les environnements d’identité fragmentés présentent des obstacles importants », a-t-elle déclaré.
Elle a ajouté que les organisations doivent également prendre en compte les identités non humaines. « Toute stratégie de clé d’accès qui ignore la couche d’identité de la machine créera de nouvelles failles de sécurité », a-t-elle déclaré.
Les exigences relatives aux appareils et les processus de récupération de compte peuvent également affecter la façon dont les clés d’accès sont déployées, a-t-elle déclaré.
Un modèle hybride est attendu pendant la transition
Selon les analystes, une transition complète vers l’abandon des mots de passe est peu probable à court terme.
« Attendez-vous à un modèle hybride qui durera plusieurs années », a déclaré van der Hout, alors que les organisations continuent de prendre en charge à la fois les mots de passe et les méthodes d’authentification traditionnelles.
Pendant cette période, les organisations devront gérer l’authentification sur plusieurs options de connexion tout en s’assurant que les méthodes de secours n’affaiblissent pas la sécurité globale, a-t-elle ajouté.
Le NCSC a également conseillé de maintenir des pratiques d’authentification fortes là où les clés d’accès ne sont pas encore disponibles.
Le signal politique renforce la transition vers la connexion sans mot de passe
Ces orientations s’ajoutent aux efforts plus larges visant à abandonner les mots de passe dans l’authentification des consommateurs.
« Ces directives sont importantes car elles donnent un effet de levier aux responsables de la sécurité », a déclaré van der Hout, notamment lors de discussions avec les fournisseurs et les parties prenantes internes.
Le NCSC a déclaré que l’évolution vers une authentification résistante au phishing pourrait réduire une cause majeure de cyber-compromission, en particulier dans les services qui reposent sur les informations de connexion des utilisateurs.
