Authentification à un, deux et trois facteurs

J’ai rencontré ce problème à nouveau. Une autre organisation qui pense que deux identifiants et mots de passe d’utilisateur constituent une authentification à deux facteurs et répondent à l’exigence 8.3 de PCI DSS. Avec toute la documentation disponible sur Internet, on pourrait penser que ce sujet serait couvert froidement. Cependant, il semble qu’il y ait encore de la confusion concernant ce qui constitue l’authentification à un, deux et trois facteurs, alors j’ai pensé prendre ce temps pour expliquer ces concepts.

Parlons des définitions des trois facteurs d’authentification.

• L’authentification à un facteur – c’est « quelque chose qu’un utilisateur connaît. » Le type le plus reconnu de méthode d’authentification à un facteur est le mot de passe.
• L’authentification à deux facteurs – en plus du premier facteur, le deuxième facteur est « quelque chose qu’un utilisateur possède ». Des exemples de quelque chose qu’un utilisateur possède sont un fob qui génère un code prédéterminé, un certificat numérique signé ou même une biométrie telle qu’une empreinte digitale. La forme la plus reconnue d’authentification à deux facteurs est l’omniprésente fob RSA SecurID.
• Authentification à trois facteurs – en plus des deux facteurs précédents, le troisième facteur est « quelque chose qu’un utilisateur est. » Les exemples d’un troisième facteur sont tous biométriques tels que la voix de l’utilisateur, la configuration de la main, une empreinte digitale, un scan de la rétine ou similaire. La forme la plus reconnue d’authentification à trois facteurs est généralement le scan de la rétine.

La chose importante à noter à propos des définitions susmentionnées est qu’elles ne mentionnent nulle part l’utilisation de deux mots de passe ou phrases de passe, de deux empreintes digitales ou de deux scans de la rétine. L’utilisation de deux facteurs identiques est considérée comme une authentification multifactorielle et n’est pas liée à l’une des définitions susmentionnées. Ainsi, ceux d’entre vous qui utilisent deux identifiants et mots de passe différents n’utilisent pas une authentification à deux facteurs, mais une authentification multifactorielle. Le PCI DSS est très spécifique dans l’exigence 8.3 et exige une authentification à deux facteurs ou mieux. Donc, le multi-facteur n’est pas acceptable.

Une autre chose à mentionner est que les puristes de la sécurité soutiendront que l’utilisation d’une biométrie pour un deuxième facteur viole les règles du troisième facteur. Cependant, d’autres praticiens de la sécurité disent que quelque chose qu’un utilisateur a ou qu’il est peut être soit quelque chose comme un jeton ou une biométrie. Leur logique est la suivante : un utilisateur possède une empreinte digitale ou une rétine, et peut donc être considéré comme l’un ou l’autre facteur. La clé est de n’utiliser une biométrie particulière qu’une seule fois. Donc, si vous utilisez une empreinte digitale pour votre deuxième facteur, vous ne pouvez pas utiliser une empreinte digitale pour le troisième facteur.

Enfin, bien qu’évident, beaucoup de gens manquent ce point. Le facteur unique est moins sûr que le facteur double qui est moins sûr que l’authentification à trois facteurs. Cependant, si les utilisateurs construisent correctement leurs mots de passe ou phrases de passe et que d’autres restrictions de connexion sont en place, l’authentification à un facteur peut être assez efficace contre les failles de sécurité, peut-être dans la gamme de 90%. L’authentification à deux facteurs porte généralement l’efficacité à environ 97 ou 98 %. Et l’authentification à trois facteurs permet d’atteindre un niveau d’efficacité de six sigmas. Notez que même avec l’authentification à trois facteurs, l’efficacité n’atteint que 99,9999 %. Comme je l’ai souligné à plusieurs reprises, la sécurité n’est pas parfaite.

Beaucoup de gens ne réalisent pas le fait qu’ils utilisent régulièrement l’authentification à deux facteurs. Pour utiliser un guichet automatique, il faut une carte (quelque chose que vous avez) et un numéro d’identification personnel à quatre chiffres ou PIN (quelque chose que vous connaissez). Un autre exemple courant de nos jours est celui de l’accès à des installations sécurisées. Pour ouvrir une porte, un utilisateur autorisé doit utiliser sa carte d’accès HID et saisir un code PIN sur un clavier. Il convient de noter que l’ordre dans lequel les facteurs sont utilisés n’a pas d’importance. Dans le cas des exemples du guichet automatique et de l’entrée, vous glissez d’abord votre carte (quelque chose que vous avez) et ensuite vous entrez votre NIP (quelque chose que vous savez).

Parce que le deuxième facteur est quelque chose qu’un utilisateur a, cela ne signifie pas que l’utilisateur doit savoir qu’il l’a. Un excellent exemple est dans le cas d’un certificat numérique. Beaucoup d’organisations émettent un certificat numérique avec leur logiciel VPN pour fournir une authentification à deux facteurs. La plupart des utilisateurs ne savent pas qu’ils ont besoin d’un certificat numérique pour que le VPN fonctionne. Le certificat numérique est généralement lié à l’utilisateur ou à l’ordinateur et est installé dans le cadre de l’installation du logiciel VPN. La seule façon pour un utilisateur de savoir qu’il a besoin d’un certificat numérique est de savoir si celui-ci est corrompu ou périmé, ce qui entraîne une erreur lorsqu’il essaie de se connecter au VPN. (NOTE : Dans le supplément d’information sur l’authentification multifactorielle du Conseil datant de 2017, l’utilisation de certificats numériques telle que discutée ici n’a pas été autorisée pour répondre à l’authentification à deux facteurs conforme à la norme PCI.)

Un autre point important est que dans les cas où tout ce que vous utilisez est votre carte d’accès HID, vous utilisez une authentification à un facteur. Les définitions des facteurs ont été établies pour faciliter l’apprentissage et la mémorisation. Cependant, l’utilisation de n’importe quel facteur seul constitue une authentification à un facteur. L’utilisation de chaque type de facteur en conjonction avec un autre donne lieu à une authentification à deux ou trois facteurs. En tant que tel, vous pouvez utiliser différentes combinaisons de tous les facteurs pour réduire la probabilité d’une compromission. Par exemple, dans de nombreux films d’espionnage, il y a une pièce ultra-sécurisée où, pour entrer, vous avez besoin d’une carte d’identité, d’un code PIN, d’un scan de la rétine et vous devez dire votre phrase de passe. Ce n’est pas un exemple d’authentification à quatre facteurs ; il s’agit d’une authentification à trois facteurs avec l’utilisation de deux facteurs biométriques (c’est-à-dire un facteur multiple).

Enfin, l’utilisation de facteurs biométriques comporte un risque dont la plupart des gens n’aiment pas parler mais qu’il est important de prendre en compte. Les gens subissent des accidents tout le temps. Des doigts sont coupés ou même enlevés. Des mains sont cassées ou mutilées. Les yeux sont endommagés. Les gens perdent leur voix. Par conséquent, si vous cherchez à utiliser la biométrie pour l’authentification, assurez-vous de prévoir de tels incidents.

J’espère que vous comprenez maintenant les différents facteurs d’authentification et que vous comprenez comment ils sont utilisés.

.