Comment Zero Trust Architecture crée une société sans mot de passe

Comment Zero Trust Architecture crée une société sans mot de passe 4Par Jonas Igbom, Responsable Ingénierie Commerciale curité

Le monde s’éveille enfin à un avenir sans mot de passe. Les mots de passe ont longtemps été la principale forme d’authentification pour les entreprises et les consommateurs, mais ils n’ont pas été sans problèmes ni vulnérabilités. À l’avenir, nous pouvons désormais nous tourner vers des solutions plus sécurisées qui facilitent l’abandon de la sécurité traditionnelle basée sur un mot de passe.

L’une des solutions que de plus en plus d’entreprises recherchent est une architecture Zero Trust (ZTA), qui nécessite une identification plus fréquente des utilisateurs. Cela supprime la confiance implicite et oblige les utilisateurs à valider chaque phase de l’expérience numérique. Au fur et à mesure que cela devient plus pratique, cela laisse place à des méthodes d’authentification alternatives.

expirer les mots de passe

Ce n’est pas une bonne idée de stocker des mots de passe en texte clair dans un magasin de données que les applications peuvent facilement lire et accéder. Étant donné que l’application transmet le mot de passe en clair entre différents composants de l’application, cela permet une vulnérabilité qui peut être exploitée par des pirates pour obtenir le mot de passe.

Bien que l’attrait des mots de passe traditionnels soit compréhensible, leur modèle facile à mémoriser est le rêve de tout pirate informatique. La puissance de calcul moderne peut facilement être utilisée à plusieurs reprises pour essayer de recréer la version cryptée ou hachée du mot de passe. Les pirates peuvent utiliser un dictionnaire pour alimenter le processus avec des mots courants, ce qui rend les mots de passe triviaux encore plus rapides à déchiffrer. Alors que des mots de passe plus complexes peuvent sembler être une solution temporaire solide, leur manque de mémorisation conduit les gens à les écrire, et peu importe où et comment cela est fait, ce n’est jamais une bonne idée. Les gestionnaires de mots de passe servent d’alternative, mais ils viennent avec leurs propres problèmes. Un gestionnaire de mots de passe doit être protégé d’une manière ou d’une autre, généralement avec… un mot de passe. Les gestionnaires de mots de passe nécessitent également généralement l’installation d’une application. Enfin, copier et coller entre le gestionnaire de mots de passe et l’application cible peut s’avérer fastidieux.

En route vers la confiance zéro

L’utilisation d’une approche Zero Trust nécessite une vérification d’identité fréquente. Alors que tous les professionnels de la sécurité savent que l’authentification détermine l’identité d’un utilisateur, dans une architecture zéro confiance, les services et les applications doivent vérifier qui demande l’accès à une ressource à chaque tentative d’accès. L’utilisation de mots de passe ne serait ni conviviale ni rapide pour une vérification continue. L’utilisateur doit s’authentifier à plusieurs reprises, ce qui prend du temps, surtout lorsqu’il utilise des mots de passe complexes. Même avec un gestionnaire de mots de passe, récupérer le mot de passe de la mémoire à chaque fois que vous vous authentifiez prendrait beaucoup de temps et d’efforts.

Une approche basée sur les jetons

Les jetons fournissent le service d’authentification robuste nécessaire pour soutenir une architecture Zero Trust. L’équivalent numérique d’un tampon sur votre poignet lorsque vous entrez dans une boîte de nuit, vous permettant d’aller et venir toute la nuit mais expire le lendemain, les jetons permettent une sécurité renforcée avec une expérience fluide.

Une approche d’authentification basée sur des jetons peut gérer tous les types de cas d’utilisation, allant des utilisateurs accédant aux ressources aux services communiquant avec d’autres services. Il est évolutif et hautement flexible, permettant à l’architecture de sécurité de gérer à la fois les utilisateurs et les services, et de faire varier le type d’authentification requis en fonction de la valeur des ressources auxquelles on accède. Par exemple, l’authentification multifacteur peut être nécessaire pour accroître la sécurité lors du traitement d’informations hautement sensibles, tandis que dans d’autres circonstances moins graves, l’authentification unique joue un rôle important pour garantir l’expérience en ligne la plus fluide possible. Cela fait des jetons la méthode idéale en matière de sécurité des API et de contrôle d’accès aux microservices.

Les jetons permettent également aux organisations de calculer le niveau de confiance dans une authentification donnée à l’aide d’entrées supplémentaires telles que l’heure de la journée, la géolocalisation ou le score de risque. Si le score indique un niveau de risque inacceptable, davantage d’alertes, de rapports et d’autres facteurs supplémentaires peuvent devoir être pris en compte pour augmenter le niveau de confiance dans l’identité de l’utilisateur.

L’utilisation de jetons ouvre la voie à des cadres fondamentaux pour protéger les API comme OAuth et OpenID Connect. OAuth fournit la base qui permet aux utilisateurs d’accorder à un site Web ou à une application tiers l’accès à leurs ressources protégées sans nécessairement révéler leurs informations d’identification à long terme ou même leur identité. OpenID Connect est une couche d’identité qui repose sur OAuth et gère l’identification des utilisateurs. Les solutions qui prennent en charge ces normes ont tendance à être simples et faciles à intégrer, avec plusieurs options d’authentification prêtes à l’emploi.

Compte tenu des frustrations courantes liées aux mots de passe oubliés et aux mauvaises pratiques de mot de passe, l’authentification sans mot de passe se traduit par une expérience meilleure et plus transparente, libérant les utilisateurs de l’utilisation de plus en plus inefficace des mots de passe. Et avec ces solutions, le mouvement vers un monde sans mot de passe a finalement pris de l’ampleur. Les entreprises devraient commencer progressivement à mettre en œuvre une architecture Zero Trust pour protéger leurs actifs, en commençant par les actifs critiques et en définissant les exigences d’une authentification forte pour accroître leur sécurité – et surtout, pour assurer une transition en douceur pour la conception des utilisateurs finaux. De cette façon, nous passerons moins de temps à nous rappeler en quelle année nous avons voyagé au Mexique tout en appuyant avec colère sur “réinitialiser le mot de passe” et plus de temps à profiter du contenu auquel nous voulons accéder.

Leave a Comment