Avantages et inconvénients d'une application mobile d'authentification à facteurs multiples
L’authentification à facteurs multiples peut améliorer la sécurité d’une application en arrêtant de se reposer sur un simple mot de passe. Reste à savoir si c’est justifié, et quels sont les avantages et les travers de l’approche.
L’authentification à facteurs multiples (MFA) est essentielle pour toute application d'entreprise qui stocke, traite ou permet d’accéder à des données sensibles ou à des informations personnellement identifiables. Mais son adoption présente des défis qui vont bien au-delà de ceux qui accompagnent une approche nom d'utilisateur/mot de passe.
Une application mobile d'authentification à facteurs multiples exige que les utilisateurs fournissent plusieurs identifiants indépendants pour utiliser l'application ou accéder à ses données. Il s’agit de rendre plus difficile l'accès à des informations sensibles pour les personnes non autorisées.
De quoi s’agit-il exactement ?
Les informations d'identification acceptables pour une application d'authentification à facteurs multiples sont généralement divisées en quatre catégories : ce que l'utilisateur sait, ce qu'il possède, ce qu’il présente, ou ce qu’il fait.
La première catégorie renvoie à des éléments mémorisés, comme des mots de passe, des codes PIN, ou des réponses à des questions secrètes. Dans la seconde catégorie, on peut trouver les cartes d'identité, les porte-clés, les jetons de mot de passe à usage unique ou le terminal mobile lui-même. La troisième catégorie fait référence à des caractéristiques spécifiques à l’individu susceptibles d’être contrôlés par un dispositif dédié, comme les empreintes digitales, la rétine ou la morphologie faciale, notamment. La dernière, plus récent, touche à la biométrie comportementale, aussi appelée authentification continue ou implicite.
L'authentification à double facteur (2FA) est généralement appréhendée comme un type de MFA, bien que les deux soient parfois considérées comme des approches différentes. Quoi qu'il en soit, une stratégie d’authentification à facteurs multiples efficace devrait recouvrir plusieurs des catégories mentionnées plus haut. Par exemple, une application qui requiert un haut degré de sécurité peut nécessiter un mot de passe et un jeton de sécurité, en plus d'un smartphone enregistré.
Parce qu'une application mobile d'authentification à facteurs multiples permet d’aller au-delà d’un mot de passe seul, que des pirates peuvent assez facilement compromettre, elle permet de gagner en sécurité. Même un mot de passe stocké de manière chiffrée peut être vulnérable aux attaques en force brute.
Chaque facteur ajouté au processus d'authentification se traduit par un niveau de protection supplémentaire. Si un facteur est compromis, les autres sont toujours en place pour protéger les données sensibles. L'activation d'une application mobile d'authentification à facteurs multiples peut en outre aider à résoudre des problèmes de conformité réglementaire.
Les défis de l'authentification à facteurs multiples
Chaque facteur d'authentification additionnel est susceptible d’impliquer un effort supplémentaire de la part de l'utilisateur final. Il peut être déjà assez difficile de se rappeler et de gérer les mots de passe, mais l'ajout de tâches telles que la gestion des applications d’authentification peut affecter la productivité et entraîner de la frustration, en particulier lorsque les utilisateurs se heurtent à des difficultés ou doivent répéter plusieurs étapes chaque fois qu'ils accèdent à leurs applications.
Et ce n'est pas une mince tâche que d'intégrer l’authentification à facteurs multiples à une application, du côté des développeurs, et notamment pour les applications patrimoniales.
Malgré tout, une organisation qui prend la sécurité au sérieux n'a pas d'autre choix que de prendre cette direction. Pour l'instant, c’est la pratique de référence acceptée pour l'authentification des utilisateurs et la protection des données sensibles.