Les mots de passe en entreprise – La méthode MaDSI
MaDSI votre prestataire informatique de services managés en Loire atlantique (44) et Vendée (85) vous propose des solutions sécurisées sans mot de passe pour simplifier la vie de vos utilisateurs. Aujourd’hui, nous allons vous parler des mots de passe en entreprise.
De l’accréditation héritée et basée sur les connaissances vers une accréditation moderne et basée sur la possession et l’inhérent.
Rappel des différents facteurs
- Facteur de connaissance :« ce que je sais ». Il s’agit d’une connaissance devant être mémorisée telle qu’une phrase de passe, un mot de passe, un code, etc;
- Facteur de possession : « ce que je possède ». Il s’agit d’un élément secret non mémorisable contenu dans un objet physique qui idéalement protège cet élément de toute extraction, tel qu’une carte à puce, un token, un téléphone, etc;
- Facteur inhérent : « ce que je suis ». Il s’agit d’une caractéristique physique intrinsèquement liée à une personne et indissociable de la personne elle-même, telle qu’une caractéristique biologique (ADN), morphologique (empreinte digitale, empreinte rétinienne) ou comportementale (voix, frappe au clavier).
Pourquoi le MFA est contraignant
La gestion des mots de passe dans les entreprises est complexe aussi bien pour les entreprises que pour les prestataires d’infogérance informatique. Les propositions actuelles de votre prestataire, mot de passe + MFA ne vous conviennent pas ?!
Difficulté pour le client
- Ne veut pas s’embêter ;
- Ne veut pas perdre de temps ;
- Trop compliqué ;
- Trop cher ;
- Gestion administrative trop complexe.
Difficulté pour le prestataire informatique
- Charge de travail augmentée pour le support : perte des mots de passe, nombreuses réinitialisations… ;
- Difficulté à convaincre les clients (voir ci-dessus) ;
- Méthode complexe à expliquer et à mettre en place.
Lors de l’intégration de nouveaux clients, nous rencontrons encore trop souvent des mots de passe faibles voir extrêmement faibles (1234 ;0000, etc …).
Pourquoi ?
Parce que l’utilisateur veut un mot de passe simple que l’on n’oublie pas.
Cela fait 10 ans que c’est comme ça alors pourquoi changer maintenant… Jean-Pierre travaille sur des machines-outils industrielles et son métier n’est pas de saisir un mot de passe de 12 caractères qui change tout le temps + un autre code…
Les prestataires précédents n’ont pas réussi à vous sécuriser et à vous convaincre de passer au MFA car cela ne convient pas à vos usages !
Nos experts MaDSI peuvent le mettre en place sans contraintes.
La méthode MaDSI : le sans mot de passe
Convivialité
Les utilisateurs peuvent désormais déverrouiller leurs identifiants de connexion cryptographiques en utilisant des méthodes intégrées simples, telles que les lecteurs d’empreintes digitales ou les caméras de leurs appareils, ou en ayant recours à des clés de sécurité FIDO conviviales. Les entreprises ont la liberté de choisir l’appareil qui répond le mieux à leurs besoins.
Il n’est plus nécessaire de saisir des mots de passe longs et complexes. Cette méthode offre à la fois une sécurité accrue et garantit la meilleure expérience possible aux utilisateurs.
Par exemple, pour déverrouiller votre téléphone, vous ne vous posez même plus la question. Vous le déverrouillez grâce à la reconnaissance faciale ou à votre empreinte. Vous ne saisissez pas un mot de passe de 12 caractères.
Chez MaDSI, nous vous proposons une expérience utilisateur similaire sur vos postes de travail et applications en ligne. C’est ça les mots de passe en entreprise : la méthode MaDSI.
Méthode 1 : L’utilisation de Windows Hello Enterprise
Au sein de votre ordinateur vous disposez d’une puce TPM 2.0 (Trusted Platform Module). Il s’agit d’un module cryptographique permettant de stocker votre identité de manière sécurisée. Dans ce scénario, le facteur de possession est alors votre propre ordinateur.
Pour simplifier, vous déverrouillez votre puce TPM avec un facteur de connaissance facile à mémoriser et à saisir. Ensuite la puce TPM se charge d’envoyer votre identité de manière complexe au vérificateur d’identité.
Mieux encore, vous avez la possibilité d’utiliser un facteur inhérent, tel que la biométrie ou la reconnaissance faciale, pour déverrouiller votre puce TPM. Ce qui signifie qu’il n’est plus nécessaire de saisir quoi que ce soit 😊.
Cela nécessite un matériel compatible et vous ne pouvez pas vous authentifier depuis un autre ordinateur.
Méthode 2 : Utilisation de la clé USB FIDO2 (USB-A/USB-C)
Le fonctionnement est similaire à celui de Windows Hello mais cette fois, c’est la clé FIDO qui remplit le rôle de la puce TPM. La clé FIDO prenant la forme d’une clé USB.
Cela ne nécessite pas de matériel compatible et permet de se connecter depuis tous vos appareils, y compris les smartphones. A partir de quelques €, elle peut être biométriques, NFC, ou à code PIN.
Comment un code PIN peut-il être considéré comme sécurisé alors que nous recommandions des mots de passe de 12 caractères minimum ?
La réponse réside dans l’ingéniosité de ce système. Le vérificateur d’identité n’a pas connaissance de votre code PIN car celui-ci sert uniquement à déverrouiller les identifiants de connexion cryptographiques stockés sur la clé FIDO2. Même si, par un scénario peu probable (car la clé se verrouille en cas de trop nombreuses tentatives infructueuses), un attaquant découvre votre code PIN, il ne peut pas se connecter directement à un service en ligne. En effet, il lui faudrait également posséder physiquement votre clé FIDO.
Oui mais si un attaquant a pris possession de mon ordinateur et que la clé FIDO est branchée dessus en permanence ?
Après la saisie du facteur de connaissance (le code PIN), la clé demande à être touchée. Il y a donc un deuxième facteur inhérent, la présence physique d’une personne. Dans ce contexte seule une intrusion physique et la connaissance du code PIN permettrait d’usurper votre identité.
Pour aller plus loin
anssi-guide-authentification_multifacteur_et_mots_de_passe.pdf
Visitez notre page LinkedIn en CLIQUANT ICI
Rester en contact en CLIQUANT ICI
En savoir plus sur nos services en CLIQUANT ICI