Vous recevez toujours des codes de connexion via des applications de texte ou d’authentification? Vous n’êtes pas seul—et c’est un gros problème. Ce qui ressemblait autrefois à une couche de sécurité intelligente est désormais l’un des moyens les plus simples pour les attaquants d’accéder à vos comptes.
D’abord, on nous a dit d’utiliser le SMS pour l’AMF. Ensuite, on nous a dit: “N’utilisez pas de SMS pour l’authentification multifacteur, utilisez plutôt une application d’authentification.”
Et bien que cela puisse sembler un pas en avant, c’est toujours fondamentalement imparfait. Les applications d’authentification s’améliorent par rapport aux SMS en évitant l’interception des messages, mais elles sont facilement exploitées (tous les jours maintenant) et reposent souvent sur des codes temporels qui peuvent également être hameçonnés, relayés ou même interceptés si l’appareil est compromis.
Le problème de base demeure: le système n’a aucune idée s’il est utilisé sur le site légitime ou un faux parfait. Ainsi, bien qu’il s’agisse d’un système différent, ce n’est pas un système sécurisé—juste une version cassée du même problème.
Vous voulez des preuves? De récentes violations très médiatisées (y compris Aflac, ERMA Insurance et Philadelphia Insurance Companies) ont montré à quel point c’est facile.
Certains étaient des appels aux services d’assistance informatique demandant un contournement ou une réinitialisation de l’AMF. Mais le favori devient rapidement une astuce de phishing/usurpation d’identité.
Un e-mail de phishing atterrit. L’utilisateur clique. Le site Web usurpé est parfait au pixel près. Ils entrent leur nom d’utilisateur, leur mot de passe et confirment qu’il s’agit d’eux sur leur application d’authentification. Terminé. L’agresseur est là.
Étant donné que l’application d’authentification ne vérifie pas qui demande ou d’où provient la demande, vous devenez le vecteur d’attaque.
C’est ce que personne ne veut dire à voix haute: les applications d’authentification et les codes SMS peuvent être hameçonnés en temps réel. Ils donnent aux utilisateurs un faux sentiment de sécurité tout en offrant peu ou pas de protection réelle contre la menace la plus courante aujourd’hui—les sites Web usurpés associés à l’ingénierie sociale.
Même les grandes plateformes comme Amazon et Google, selon des enquêtes récentes, utilisent des sociétés tierces de livraison de SMS—certaines ayant des liens avec des opérations de surveillance. Ces intermédiaires ont déjà été liés à des failles de sécurité. Même la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a émis un avertissement brutal: “N’utilisez pas les SMS comme deuxième facteur.”
Donc, vous pourriez penser que les mots de passe sont une réponse—et ils sont un petit pas en avant, mais maintenant ils sont également facilement compromis. Ils lient cryptographiquement les identifiants de connexion aux sites Web et réduisent les erreurs humaines. Mais ils ne sont pas infaillibles. Les mots de passe sont souvent stockés et synchronisés via des comptes cloud.
Si quelqu’un détourne votre compte Apple ou Google, il peut accéder à toutes les clés d’accès que vous avez enregistrées. Un téléphone volé ou compromis? Même risque. Et les logiciels malveillants ou la coercition des utilisateurs peuvent toujours entraîner des approbations qui donnent aux attaquants un accès complet.
Alors, quelle est la solution? Il est temps de dépasser l’illusion des codes et de la synchronisation dans le cloud. Entrez Token Ring et Token BioStick—des authentificateurs matériels biométriques spécialement conçus qui suppriment complètement les maillons faibles.
Voici pourquoi ils fonctionnent:
- Pas de nuage.
- Pas de secrets partagés.
- Aucune confiance dans le jugement de l’utilisateur.
- Pas de saisie de code.
Token Ring et Token Bostick stockent vos informations d’identification dans des éléments sécurisés inviolables. Ils ne s’authentifient que lorsque votre empreinte digitale correspond, que vous êtes physiquement présent et que le domaine demandant l’accès est vérifié cryptographiquement.
Même si un attaquant vole l’appareil, il est inutile sans votre empreinte digitale. Même si vous êtes amené à visiter un faux site, il ne s’animera même pas et encore moins s’authentifiera—car l’appareil doit être à proximité de l’appareil qui se connecte, et même si quelqu’un l’a compris, la poignée de main cryptographique échoue automatiquement.
Ils ne peuvent pas être hameçonnés. Ils ne peuvent pas être détournés à distance. Ils éliminent la confiance de l’équation. C’est la puissance de la FIDO2 biométrique bien réalisée, dans un matériel sécurisé, sans raccourcis.
En bout de ligne: Si votre MFA peut être trompé par un faux site Web, il est déjà obsolète.
Le SMS est mort. Les applications d’authentification sont héritées. Les clés d’accès sont un progrès, mais imparfaites.
Token Ring et Token Bostick sont l’étalon-or. À l’épreuve de l’hameçonnage. Inviolable. Lié biométriquement. Proximité requise.
Les attaquants viennent pour vos applications MFA et auth-ce n’est pas une question de savoir si, mais quand. Et toutes les autres méthodes aujourd’hui? Ils échouent.
Il est temps de passer à la version supérieure. Avant d’être le prochain titre.