Directives MFA du NIST

Les mots de passe des utilisateurs finaux sont souvent le maillon le plus faible de la sécurité informatique, offrant peu de résistance à un attaquant cherchant à pénétrer les systèmes de l’entreprise. Les utilisateurs choisissent généralement des mots de passe faciles à retenir et, par conséquent, faciles à compromettre. Selon le rapport 2021 d’IBM sur le coût d’une fuite de données qui passe au crible les pratiques de 524 organisations ayant été piratées, une sur cinq l’a été à travers un vol d’identifiants.

Un mot de passe seul ne suffit pas. Le National Institute of Standards and Technology (NIST) considère l’authentification multifacteurs (MFA) comme un point sensible dans la politique de cybersécurité d’une organisation. Dans ses directives sur l’identité numérique, le NIST recommande l’utilisation de MFA pour sécuriser toute information personnelle disponible en ligne.

Les bonnes pratiques du NIST concernant la MFA

Le NIST ne considère pas que deux facteurs d’authentification de la même catégorie puissent être efficaces. Cela signifie que l’utilisation de mots de passe (quelque chose que vous connaissez) avec des questions de sécurité (quelque chose que vous connaissez) n’est pas considérée comme une MFA. De plus, les questions de sécurité ne sont pas reconnues comme un authentificateur acceptable, car elles sont sujettes à l’ingénierie sociale et à la compromission.

Un facteur secondaire commun pour la MFA est un code numérique fourni à un appareil mobile (quelque chose que vous avez). L’appareil mobile est connu sous le nom d’authentificateur hors bande. Le NIST donne des conseils très spécifiques quant à la livraison de ces codes numériques aux authentificateurs hors bande. On peut lire dans la publication spéciale NIST 800-63B, section 5.1.3.1 :

« Les méthodes qui ne peuvent prouver la possession d’un appareil spécifique, telles que la voix sur IP (VOIP) ou le courrier électronique, NE DOIVENT PAS être utilisées pour l’authentification hors bande. »

L’envoi d’un code numérique à un appareil hors bande à l’aide d’un compte de messagerie n’est pas un moyen sûr de communiquer ces informations. Les comptes de messagerie peuvent très facilement être compromis. Si un attaquant a déjà compromis le mot de passe d’un utilisateur, il contrôle probablement le compte de messagerie de l’utilisateur.

Il y a également eu une controverse sur la livraison de mots de passe numériques à usage unique par SMS. Le NIST a créé une certaine confusion à ce sujet parmi les organisations en tergiversant un peu sur la livraison par SMS des codes numériques. Cependant, dans la même publication spéciale NIST 800-63B, on peut lire :

« L’authentificateur hors bande DOIT uniquement s’authentifier de l’une des manières suivantes lors de la communication avec le vérificateur :

– En établissant un canal protégé authentifié vers le vérificateur et en utilisant une cryptographie approuvée. La clé utilisée DOIT être stockée dans un stockage convenablement sécurisé, disponible dans l’application d’authentification (par exemple : stockage de trousseau, TPM, TEE, élément sécurisé).

– En s’authentifiant auprès d’un réseau de téléphonie mobile public à l’aide d’une carte SIM ou d’un équivalent qui identifie de manière unique l’appareil. Cette méthode NE DOIT être utilisée que si un secret est envoyé du vérificateur à l’appareil hors bande via le RTPC (SMS ou voix).

– Si un secret est envoyé par le vérificateur au dispositif hors bande, le dispositif NE DEVRAIT PAS afficher le secret d’authentification tant qu’il est verrouillé par le propriétaire (c’est-à-dire qu’il nécessite la saisie d’un code PIN, d’un code d’accès ou d’éléments biométriques pour l’afficher). Cependant, les authentificateurs DEVRAIENT indiquer la réception d’un secret d’authentification sur un appareil verrouillé. Si l’authentificateur hors bande envoie un message d’approbation sur le canal de communication secondaire – plutôt que par le demandeur transférant un secret reçu sur le canal de communication principal. »

Au fur et à mesure que votre organisation met en œuvre l’authentification multifacteurs, il est essentiel d’utiliser les mécanismes de livraison recommandés pour le deuxième facteur d’authentification, comme par exemple celui d’éviter la livraison de codes numériques par email. Cela doit être pris en compte pour tous les systèmes nécessitant une vérification de l’utilisateur, y compris lors du processus de réinitialisation du mot de passe.

MFA pour la réinitialisation de mot de passe

Lorsqu’un utilisateur oublie son mot de passe, le processus de récupération du mot de passe – qu’il passe par un système en libre-service ou par le helpdesk – nécessite une vérification d’identité avant d’émettre un nouveau mot de passe. Malheureusement, la manière dont les utilisateurs sont vérifiés est rarement conforme aux préconisations du NIST. Les questions de sécurité sont encore couramment utilisées lors de la récupération du mot de passe, ce qui compromet complètement le processus.

Avec un outil en libre-service comme Specops uReset, les organisations peuvent appliquer une véritable MFA pendant le processus de réinitialisation du mot de passe. Specops uReset vérifie les utilisateurs d’Active Directory avec une gamme de différents facteurs d’authentification, y compris leur appareil mobile, et des options de haute confiance comme Duo Security, Okta et Ping ID.

Augmenter la sécurité globale des mots de passe En plus des directives MFA, le NIST encourage la protection des comptes contre les mots de passe piratés. Specops Software fournit aux organisations les outils nécessaires pour mettre en œuvre une protection contre les mots de passe usurpés pour les utilisateurs d’Active Directory. Breached Password Protection, utilisé conjointement avec la MFA lors de la récupération de mots de passe, augmente considérablement la sécurité des mots de passe pour les entreprises.