Admettez-le : les seules personnes qui détestent encore plus les mots de passe que vos utilisateurs sont les employés du help desk.
De combien de mots de passe vos utilisateurs ont-ils besoin ? Trois ? Cinq ? Je parie également que vous leur demandez de mémoriser un nouveau mot de passe tous les deux ou trois mois, lequel doit de surcroît être compliqué.
Ce dossier est issu de notre publication IT Pro Magazine (05/11). Pour consulter les schémas et illustrations associés, rendez-vous dans le club abonnés.
Pourtant, il n’est pas de mots de passe faciles à mémoriser qui ne puissent être percés en quelques secondes. En effet, ils sont stockés sous forme de hachages et une rainbow table (littéralement table arc-en-ciel) propose un moyen rapide de rechercher un hachage particulier et de récupérer sa version en texte clair. Les torrents sont remplis de rainbow tables prégénérées capables de percer un mot de passe d’au maximum 10 caractères et comportant n’importe quel caractère ASCII. Quid alors de tous les symboles et nombres que vos utilisateurs doivent intégrer dans leurs mots de passe ? En fait, ils ne vous apportent aucune protection supplémentaire.
Un autre facteur
Les mots de passe uniques, générés habituellement par un jeton d’authentification, constituent généralement la solution. Par le passé, ils ont été limités à un facteur de forme d’authentifieur de la taille d’un porte-clés et leur utilisation était fastidieuse. En effet, il fallait acheter des jetons physiques auprès de la même société qui commercialisait la solution d’intégration back-end, processus qui se révélait onéreux. Ensuite, vous délivriez des jetons aux utilisateurs, en veillant à ce que le système back-end répertorie les détenteurs des différents jetons. Les utilisateurs créaient un PIN de quatre à six chiffres associé au jeton, qu’il fallait aussi stocker.
La situation est complètement différente aujourd’hui. En général, vous achetez votre logiciel back-end auprès d’un éditeur, sans être contraint de vous procurer les jetons auprès de ce dernier.
La majorité des jetons et des solutions back-end sont désormais conformes à la norme d’interopérabilité OATH (Open Authentication). Autrement dit, vous pouvez vous approvisionner auprès de n’importe quel fournisseur. Cela a tiré les prix vers le bas et, dans certains cas, ils sont même inférieurs à 5 $ par utilisateur. En général, la solution back-end s’intègre d’une manière ou d’une autre à Active Directory, mais propose aussi souvent une interface RADIUS, afin de permettre l’authentification de quasiment n’importe quoi. Sur les ordinateurs client Windows, un agent substitue à votre écran Ctrl+Alt+Suppr habituel un écran d’identification par jeton.
Entre temps, les jetons ont évolué au-delà des authentifieurs matériels. Même si ceux-ci restent populaires, il existe désormais des jetons de la taille d’une carte de crédit et des jetons logiciels sont proposés pour pratiquement tous les périphériques mobiles existants. Les télétravailleurs peuvent même obtenir des jetons logiciels basés sur Windows pour leur ordinateur à domicile. Cette approche facilite la connexion au réseau d’entreprise et permet de travailler comme au bureau.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure,
vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la
synthèse des conseils et recommandations à appliquer dans votre organisation.
Data - Par
Don Jones - Publié le 02 février 2012
