Transformez vos insights en actions : Bitwarden Access Intelligence est désormais disponible En savoir plus >

Ressources Bitwarden

Pourquoi les clés d’accès sont une authentification multifacteur résistante au phishing

Lorsqu’une clé d’accès est utilisée, l’authentification est liée au site web légitime et repose sur une preuve cryptographique. Découvrez dès aujourd’hui la sécurité des clés d’accès !

Les clés d’accès sont une méthode d’authentification multifacteur (MFA) résistante au phishing, qui peut être utilisée comme facteur d’authentification autonome ou avec des mots de passe dans des déploiements hybrides. Lorsqu’une clé d’accès est utilisée, l’authentification est liée au site web légitime et repose sur une preuve cryptographique plutôt que sur des codes de vérification à usage unique qui doivent être saisis ou approuvés manuellement. Cette FAQ explique pourquoi et comment les clés d’accès sont plus sûres que les codes SMS, les applications d’authentification et les notifications push.

Les clés d’accès peuvent-elles fonctionner sans mots de passe ?

Oui. Les clés d’accès peuvent constituer une solution d’authentification complète dans les déploiements sans mot de passe, car elles sont intrinsèquement multifacteur. Elles exigent la possession de l’appareil ainsi qu’une vérification biométrique ou par code PIN. Les organisations peuvent également utiliser les clés d’accès comme facteur d’authentification supplémentaire avec des mots de passe, ce qui donne aux équipes la flexibilité nécessaire pour choisir l’approche adaptée à leurs politiques de sécurité et aux workflows des utilisateurs.

Qu’est-ce qui fait des clés d’accès une authentification multifacteur « résistante au phishing » ?

Les clés d’accès sont sécurisées par cryptographie et utilisent un chiffrement avancé ainsi que des fonctions mathématiques pour être impossibles à deviner et presque impossibles à hameçonner, ce qui en fait une forme d’authentification multifacteur résistante au phishing. Trois propriétés définissent cette catégorie de MFA.

Liaison à l’origine L’authentificateur vérifie le site web ou l’application qui demande la connexion et ne répond que lorsque le domaine est légitime (voir Fonctionnement des clés d’accès). Cela empêche les sites imitant des sites légitimes de déclencher une connexion valide.

Défi-réponse Chaque connexion utilise un défi unique et éphémère généré par le service. L’authentificateur signe ce défi avec une clé privée. Il n’existe aucune information réutilisable qu’un attaquant pourrait capturer et transmettre au vrai site (attaque par relais) ou enregistrer pour une tentative ultérieure (attaque par rejeu).

Aucun secret partagé La clé privée reste sur l’appareil de l’utilisateur et n’est jamais transmise pendant l’authentification. Le service/site web ne stocke qu’une clé publique, qui ne peut pas être utilisée pour générer une connexion valide ni usurper l’identité de l’utilisateur.

Pour en savoir plus sur l’évolution de l’authentification en entreprise, consultez l’adoption de l’authentification sans mot de passe.

Pourquoi les autres méthodes sont moins sûres

Les clés d’accès répondent aux trois exigences de la MFA résistante au phishing. Elles lient l’authentification au domaine réel, ne répondent qu’aux défis générés par le serveur et n’exposent jamais de secret partagé.

À titre de comparaison, les méthodes courantes d’authentification multifacteur peuvent être interceptées ou relayées :

  • Les codes SMS peuvent être volés au moyen de malwares, d’échanges de cartes SIM ou de kits de relais en temps réel.

  • Les TOTP d’applications d’authentification sont temporaires, mais restent réutilisables pendant une courte période et peuvent être collectés via des sites web usurpés.

  • Les approbations push sont vulnérables aux attaques par demandes répétées (également appelées bombardement 2FA), où les utilisateurs approuvent une demande par confusion ou par lassitude.

Les clés d’accès répondent aux critères de MFA résistante au phishing définis par le NIST, Microsoft et d’autres grands fournisseurs.

Exemples de MFA résistante au phishing

Kits de relais d’authentification multifacteur en temps réel Les kits de relais créent un proxy entre les utilisateurs et de fausses pages de connexion, capturent les mots de passe et les codes à usage unique, puis les transmettent au vrai site. Les clés d’accès empêchent cette attaque, car il n’existe aucun code réutilisable et le défi signé ne peut pas être réutilisé.

Pièges par domaines ressemblants Les attaquants enregistrent des domaines qui ressemblent fortement à des sites web légitimes et incitent les victimes à saisir leurs identifiants. Un exemple récent était « rnicrosoft.com vs. microsoft.com » : notez que le r et le n ressemblent à un m. Les clés d’accès ne répondent pas aux origines qui ne correspondent pas, de sorte que le domaine frauduleux ne peut pas produire d’invite d’authentification valide.

Lassitude liée à l’authentification multifacteur et bombardement push La MFA basée sur le push dépend de l’approbation humaine. Les attaquants submergent les utilisateurs avec des invites répétées jusqu’à ce qu’ils en acceptent une par erreur. Les clés d’accès suppriment entièrement ce vecteur, car le flux d’authentification ne comprend pas d’actions « approuver » ou « refuser ».

Pour mieux comprendre comment renforcer la visibilité de l’authentification dans votre organisation, consultez la présentation de Bitwarden Access Intelligence.

Si vous explorez les options de connexion entre appareils, consultez Comment se connecter avec un autre appareil.

Si vous explorez les options de connexion entre appareils, consultez Comment se connecter avec un autre appareil.

Profitez dès maintenant d’une sécurité des mots de passe puissante et fiable. Choisissez votre offre.

Équipes

Protection résiliente pour les équipes en croissance

$4
par mois / par utilisateur facturé annuellement
Commencer l’essai gratuit
Aucun compromisPartagez des données sensibles en toute sécurité avec des collègues, à travers les départements ou l'ensemble de l'entreprise
  • Partagez vos identifiants en toute sécurité
  • Suivez l'activité grâce aux journaux d'événements
  • Synchronisez votre répertoire existant
  • Automatisez le provisionnement avec SCIM
Inclut des fonctionnalités premium pour tous les utilisateurs

Entreprise

Fonctionnalités avancées pour les grandes organisations

$6
par mois / par utilisateur facturé annuellement
Commencer l’essai gratuit
Protection maximaleUtilisez des fonctionnalités avancées, notamment des politiques d'entreprise, la connexion sans mot de passe unique (SSO) et la récupération de compte.
  • Contrôle d'accès granulaire
  • Intégration SSO sans mot de passe
  • Possibilité d'auto-hébergement
  • Access Intelligence risk remediationnouveau
  • Plan familial gratuit pour tous les utilisateurs
Inclut des fonctionnalités premium et un plan familial gratuit pour tous les utilisateurs

Contacter le service commercial

Pour les entreprises comptant des centaines ou des milliers d'employés, veuillez contacter notre service commercial pour obtenir un devis personnalisé et voir comment Bitwarden peut vous aider :

  • Réduire les risques de cybersécurité
  • Augmentez la productivité
  • Intégrez-vous en toute transparence
Bitwarden s'adapte à toutes les tailles d'entreprise pour garantir la sécurité des mots de passe au sein de votre organisation.
Contacter le service commercial

Les prix sont indiqués en USD et sont basés sur un abonnement annuel. Les taxes ne sont pas incluses.