SMS et authentification à deux facteurs : ce que chaque entreprise devrait savoir

Alors que les criminels deviennent plus diligents dans leurs efforts pour pénétrer les défenses des utilisateurs, les entreprises doivent devenir plus actives dans le maintien de l'intégrité de leurs données.

Les clients, plus habitués à simplement envoyer un e-mail comme s'il était envoyé par la poste, pourraient réagir mal à l'aise à toute étape supplémentaire requise. Heureusement, les clients sont de mieux en mieux informés et le processus devient plus facile.

L'objectif est de rendre l'identification à deux facteurs aussi facile que possible pour les utilisateurs finaux tout en garantissant qu'il est difficile pour les malfaiteurs de la contourner.

Cela semble formidable ? Relaxer! L'authentification à deux facteurs ( 2FA ) a évolué pour lutter contre ces escrocs intelligents.

Comment ça marche?

2FA ajoute une couche supplémentaire aux protocoles d'authentification. Il peut prendre de nombreuses formes. Parfois, il est biométrique, nécessitant qu'une voix, une empreinte digitale, un scan rétinien ou un autre élément unique fasse partie du mélange.

Ceux-ci nécessitent une tenue de registres et un stockage PII (informations personnellement identifiables) étendus, ce qui peut augmenter considérablement les frais généraux, ainsi que causer des problèmes de sécurité supplémentaires si ce stockage devait être compromis.

Cependant, bien que de telles techniques soient possibles, elles ne sont pas pratiques dans la plupart des cas. Au lieu de cela, des institutions telles que les banques émettent des cartes d'identité uniques pour (par exemple) faire fonctionner un guichet automatique bancaire (GAB). Ces cartes sont inutiles sans le code PIN (numéro d'identification personnel).

Cette sécurité repose sur le fait d'avoir un élément spécifique et de le combiner avec une connaissance particulière. Les cartes bancaires peuvent être perdues lorsqu'un portefeuille est volé ou égaré, mais les cartes elles-mêmes sont inutiles sans le code PIN.

L'authentification à deux facteurs complète le paradigme traditionnel du « nom d'utilisateur » et du « mot de passe ».

Avantages de l'authentification à deux facteurs

Des gangs organisés, ou même des criminels solitaires, ont trouvé des stratégies pour inciter des personnes autrement intelligentes à prendre des décisions étonnamment mauvaises, telles que l'octroi d'un accès sécurisé à des étrangers ou le partage de mots de passe.

2FA par SMS rend le processus suffisamment difficile pour les criminels pour que, dans l'ensemble, la majorité d'entre nous soient trop inintéressants pour attirer l'attention.

Suppression d'une étape

L' IdO , ou Internet des objets, a été une aubaine pour l'humanité (ainsi qu'un fléau, dans certains cas). Cela signifie que 5 milliards de smartphones sont actuellement utilisés, ainsi que d'innombrables autres appareils pouvant recevoir des SMS.

Selon les estimations actuelles, 21/2 milliards de Terriens portent au moins un smartphone (en plus de tous nos autres appareils).

Il est avec nous presque tout le temps, à portée de main, et nous en sommes devenus assez dépendants.

Les services 2FA n'ont pas à fournir d'outils d'identification discrets ; ils n'ont pas non plus à stocker des informations inutiles sur les individus.

Nous pouvons toujours avoir des noms et des mots de passe, mais maintenant, après nous être identifiés, le service peut utiliser l'authentification par SMS pour nous envoyer un SMS avec un code PIN temporaire qui expire dans une minute ou deux.

Vous savez maintenant quelque chose (nom et mot de passe) et avez quelque chose (votre téléphone), vous pouvez donc continuer. Quoi de plus simple ?

Les peurs s'en vont, les clients l'utiliseront

Certaines entreprises pensent que les clients se rebelleront et prendront leurs affaires ailleurs. Pour preuve, ils pointent souvent le fait que seulement 10% des utilisateurs de Gmail activent 2FA – ou, plus particulièrement, 90% ne le font pas .

Bien que l'utilisation de 2FA soit sans aucun doute une bonne idée, vous devez être conscient du paradigme qui est à l'œuvre ici. Les gens utilisent souvent une société de sécurité ou un service de messagerie privé de FAI pour leur courrier "important", et Gmail pour absorber le SPAM et assurer la communication avec des sites Web non fiables.

Ceux qui l'utilisent pour « tout » ont tendance à faire plus attention ; pour le reste, cela ne vaut pas l'effort supplémentaire.

Les clients exigent désormais 2FA pour les transactions financières

En revanche, lorsqu'il s'agit de déplacer de l' argent , les clients ont tendance à être beaucoup plus exigeants et à profiter de mesures de sécurité supplémentaires.

Si vous ne proposez pas de services d'authentification par SMS, ils passeront à un autre fournisseur. Les sites Web populaires tels qu'Amazon, LinkedIn, PayPal et DropBox nécessitent 2FA pour les transactions financières à partir d'appareils inconnus ou pour l'échange de PII.

Pour plus de commodité, vous trouverez fréquemment de petites cases à cocher indiquant « Faire confiance à cet appareil », ce qui signifie que les transactions futures via cet appareil sont automatiquement approuvées.

Si vous empruntez la tablette d'un ami pour vous connecter à votre compte bancaire, vous devrez obtenir un code d'authentification unique et limité dans le temps, mais sur votre appareil enregistré, il vous suffira d'utiliser votre mot de passe et votre nom habituels.

Certains sites exigent que vous certifiiez un appareil une seule fois ; d'autres mensuellement ou annuellement. Les sites hautement sécurisés nécessitent 2FA à chaque connexion.

Défis de l'authentification à deux facteurs

2FA n'est pas une panacée car les hackers experts peuvent effectuer une interception de SMS et un transfert d'appel instantané - tout cela pour envoyer le code résultant ailleurs.

Cependant, « Ne paniquez pas ! », comme Douglas Noel Adams nous l'a un jour conseillé. Cela demande une énorme quantité de travail, et il est généralement réservé aux employés malhonnêtes au sein d'un fournisseur de services GSM, de créer ces opportunités d'exploitation.

Lorsqu'il y a un gain important à obtenir, les escrocs sont prêts à déployer plus d'efforts.

Ceux qui transfèrent des dizaines de milliers ou des millions (ou dans le cas des célébrités, toutes leurs photos nues) doivent prendre des précautions supplémentaires, mais cela ne concerne pas la majorité de la population.

Certains systèmes sont intrinsèquement faibles ou gardés par des représentants du service client qui sont beaucoup trop soucieux de réinitialiser les mots de passe. Il est probablement préférable de s'en tenir à des entreprises réputées utilisant un service de marque.

Bien sûr, 2FA peut être problématique pour les personnes qui se sentent obligées d'obtenir un nouveau smartphone chaque année. Ils doivent mettre à jour tous leurs comptes, en identifiant le nouvel appareil (en ajoutant de nouvelles et en supprimant les anciennes autorisations), avant de pouvoir y accéder de manière transparente. Tel est le coût d'avoir toujours la dernière technologie…

Plus d'outils pour 2FA

Vous pensez peut-être qu'il existe de meilleurs outils. Il existe des outils d'application, tels que Google Authenticator (voir un exemple de test fonctionnel ici), qui sont à l'épreuve de "l'interception de SMS" ou, si vous êtes un fan d'Apple, des notifications PUSH qui n'utilisent pas non plus le système SMS.

Vous pouvez utiliser quelque chose comme ça si cela vous plaît. Dans les environnements de haute sécurité, il existe des outils encore plus puissants, et ils sont fréquemment utilisés lorsque cela est nécessaire.

Vous avez peut-être entendu parler d'un dispositif porte-clés de type USB qui génère un mot de passe aléatoire sur demande, par exemple. Ceci est utile pour une organisation mais beaucoup moins pour traiter avec des milliers de membres du grand public.

Les plats à emporter

Tous ces systèmes sont excellents et surmontent toutes les faiblesses perçues de 2FA par SMS. La vérité, cependant, est que ces faiblesses sont mineures et pas nécessairement intrinsèques. Le blâme revient presque toujours à la mise en œuvre des protocoles par des entreprises de communication individuelles.

Ces failles deviendront académiques avec le temps à mesure que nous progresserons vers l'élimination des vulnérabilités dans les protocoles exploités comme SS7 (utilisé pour permettre l'itinérance sur différents réseaux téléphoniques).

Le SMS est une excellente option car les gens le comprennent déjà très bien, il est omniprésent et complique la vie des hackers.

Protégez-vous et protégez vos clients, comme nous l'avons fait pour Cloud Data Service, une agence de développement Web et de logiciels qui s'appuie sur la sécurité SMS 2FA pour s'assurer que les informations de ses clients restent privées.

Si vous souhaitez un canal de communication fiable et sécurisé pour vos clients, connectez-vous avec l'un de nos experts TextMagic via notre formulaire de contact en ligne ou inscrivez-vous pour un essai gratuit, afin que vous puissiez voir comment cela fonctionne par vous-même !