Catégories
Actualités Start-Up

Microsoft exhorte les entreprises à quitter le texte et les codes d'authentification à plusieurs facteurs vocaux

Un dirigeant de Microsoft exhorte les entreprises à abandonner la méthode d'authentification multifacteur (MFA) la plus populaire – des codes d'accès à usage unique envoyés aux appareils mobiles par texte ou par voix – pour différentes approches, y compris les authentificateurs d'applications, qui, selon lui, sont plus sécurisées.

«Il est temps de commencer à vous éloigner des mécanismes d'authentification multi-facteurs (MFA) SMS et vocaux», a affirmé Alex Weinert, directeur de la sécurité d'identité, dans un article du 10 novembre sur un blog Microsoft. "Ces mécanismes sont basés sur des réseaux téléphoniques commutés publiquement (PSTN), et je pense qu'ils sont les moins sûrs des méthodes MFA disponibles aujourd'hui."

Weinert a fait valoir que d'autres méthodes MFA sont plus sécurisées, appelant Microsoft Authenticator, l'authentificateur basé sur l'application de son entreprise, et Windows Hello, le label générique de la technologie biométrique de Microsoft, y compris la reconnaissance faciale et la vérification des empreintes digitales. Ce n'est pas un hasard si Weinert a vanté les technologies que Microsoft a vigoureusement poussé dans sa campagne pour convaincre les entreprises de se passer de mot de passe.

Il y a plus d'un an, Weinert a expliqué comment, à son avis, les mots de passe à eux seuls ne constituent pas une défense contre le vol d'informations d'identification, mais qu'en activant l'authentification multifacteur, "votre compte est plus de 99,9% moins susceptible d'être compromis". Ce conseil n'a pas changé, mais la position de Microsoft sur la MFA s'est maintenant rétrécie. "La MFA est essentielle – nous discutons lequel Méthode MFA à utiliser, non qu'il s'agisse pour utiliser MFA », a-t-il écrit la semaine dernière.

Weinert a coché une liste de failles de sécurité dans la MFA basée sur les SMS et la voix, la technique qui envoie généralement un code à six chiffres à un numéro de téléphone prédéterminé et vérifié. Ces défauts, a déclaré Weinert, allaient d'un manque de cryptage – les textes sont envoyés en clair – à la vulnérabilité à l'ingénierie sociale.

L'authentification basée sur les applications, a soutenu Weinert, est un moyen beaucoup plus sûr d'atteindre les fins WFA. Il a ensuite vanté Microsoft Authenticator, disponible en versions pour Android de Google et iOS d'Apple.

Authenticator dispose d'une communication cryptée, prend en charge la reconnaissance faciale et d'empreintes digitales – permettant aux utilisateurs de s'authentifier à l'aide de ces technologies lorsque, par exemple, les ordinateurs portables fournis par l'entreprise ne le font pas. Authenticator prend également en charge les codes d'accès à usage unique, dupliquant le mécanisme du WFA basé sur SMS, bien que sous forme cryptée du début à la fin.

Dans une certaine mesure, Microsoft a mis ses politiques là où il était. Depuis l'année dernière, les nouveaux clients Office 365 et Microsoft 365 sont accompagnés d'un ensemble de paramètres d'options par défaut appelés valeurs par défaut de sécurité, qui exigent que chaque utilisateur s'authentifie via MFA. L'application Microsoft Authenticator est la méthode MFA par défaut.

Droits d'auteur © 2020 IDG Communications, Inc.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *