23 août 2023
Est-ce la fin des mots de passe ? La nouvelle approche IAM/CIAM
Le monde numérique actuel est confronté à des problèmes d'authentification complexes qui ne peuvent plus être abordés par des techniques du passé comme l'utilisation de crédentiels basés sur un nom d'utilisateur et un mot de passe.
Il est temps de laisser place à de nouveaux mécanismes d'authentification et de parler de la gestion des identités et de l'autorisation, c'est-à-dire du CIAM.
Les mots de passe sont depuis longtemps un élément essentiel dans le domaine de la sécurité moderne.
- Le premier mot de passe numérique. En 1961, le professeur d'informatique du MIT, Fernando Corbato, a créé le premier mot de passe numérique pour résoudre l'accès concurrent des utilisateurs à l'ordinateur en temps partagé qu'il avait créé. Chaque utilisateur devait accéder de manière privée aux terminaux. La solution ? Fournir à chaque utilisateur un mot de passe.
- Surcharge de mots de passe. Aujourd'hui, il y a des mots de passe pour presque tout. Chacun de nous a en moyenne plus de 100 mots de passe et nous les partageons souvent avec la famille, les amis ou les collègues de travail (Netflix, ça vous dit quelque chose ?). Essayer de tous les retenir peut être épuisant.
Mais soyons honnêtes, les mots de passe sont une corvée.
Un consensus croissant
Ce n'est pas une opinion minoritaire, mais une perspective partagée par la grande majorité des professionnels de l'informatique. En 2020, une enquête de LastPass a révélé que 95% des professionnels de l'informatique pensent que les mots de passe représentent un risque de sécurité pour leur organisation.
Ils ont souligné plusieurs mauvaises pratiques, allant de l'utilisation de mots de passe peu sécurisés et la réutilisation de ceux-ci, jusqu'au manque de modification des identifiants par défaut dans les applications et les dispositifs. Combien d'entre vous ont changé le mot de passe du routeur fourni par votre compagnie téléphonique ?
Cela ne doit pas être interprété comme une attaque contre la négligence des utilisateurs ; nous devons simplement accepter que les utilisateurs recherchent la simplicité :
- Les mots de passe courts sont plus faciles à retenir, mais aussi plus simples à deviner.
- Les mots de passe plus longs sont plus difficiles à déchiffrer, mais aussi plus difficiles à retenir.
- Même le mot de passe le plus complexe et unique conçu par un utilisateur est inutile si une entreprise ne stocke pas correctement les identifiants.
Les principales attaques contre les mots de passe actuels
En profitant de ces faiblesses, voici quelques-unes des tactiques utilisées par les malfaiteurs pour compromettre la sécurité de nos identifiants.
- Phishing : l'une des techniques de vol de mots de passe les plus courantes aujourd'hui. Elle utilise des techniques d'ingénierie sociale, son succès repose sur la tromperie de la victime pour qu'elle révèle des informations confidentielles.
- Ingénierie sociale : ce terme fait généralement référence au processus de tromper les utilisateurs pour qu'ils croient que le pirate est un agent légitime, il repose sur la manipulation psychologique des personnes pour qu'elles effectuent des actions ou divulguent des informations confidentielles.
- Attaque par force brute : regroupe différentes méthodes de piratage basées sur la devinette des mots de passe pour accéder à un système. La plupart de ces attaques utilisent un certain type de traitement automatisé, ce qui permet de tester de grandes quantités de mots de passe sur un système.
- Attaque par dictionnaire : est un exemple un peu plus sophistiqué d'une attaque par force brute. Elle utilise un processus automatisé de tentatives d'accès à un système qui s'appuie sur une liste des mots de passe et phrases d'accès les plus courants. Ce dictionnaire de mots de passe provient généralement de piratages antérieurs, il contient également les mots de passe les plus couramment utilisés.
- Attaque par table arc-en-ciel : chaque fois qu'un mot de passe est stocké dans un système, il est généralement chiffré par un hash, ce qui rend impossible la détermination du mot de passe original sans le hash correspondant. Pour contourner cela, les pirates maintiennent et partagent des répertoires qui enregistrent les mots de passe et leurs hashes correspondants, souvent créés à partir d'attaques antérieures, ce qui réduit le temps nécessaire pour accéder à un système. Elle est utilisée dans les attaques par force brute.
Conclusion
L'authentification traditionnelle par nom d'utilisateur et mot de passe a été la base de l'identité et de la sécurité numérique pendant plus de 50 ans. Aujourd'hui, avec l'augmentation exponentielle des comptes utilisateurs, ce mécanisme fait face à de nouveaux problèmes, tels que la gestion correcte des identifiants par les utilisateurs, les coûts de support et, plus important encore, les risques de sécurité posés par les identifiants compromis.
Il est temps de commencer à parler de la gestion des identités et des autorisations, c'est-à-dire de CIAM, dont les principaux avantages sont :
- Approvisionnement automatique des comptes utilisateurs
- Gestion des flux de travail et libre-service
- Gestion des mots de passe
- Authentification unique (SSO)
- Contrôle d'accès basé sur les rôles (RBAC) / Gouvernance de l'accès
- Audit et Conformité
Découvrez comment le CIAM peut soutenir des initiatives génératrices de revenus pour votre entreprise, ou contactez-nous pour obtenir plus d'informations sur la façon dont Okta peut soutenir votre organisation.
Share