La double authentification, bien que ce ne soit pas une méthode de protection à toute épreuve car il n’y en a pas, elle s’est avérée être l’une des plus efficaces pour éviter de perdre l’accès au compte. Le dernier échantillon de ceci est offert par Microsoft, dont la participation à la conférence de sécurité RSA la semaine dernière a laissé plus d’une note à mentionner, en plus de la présentation d’un produit

Par exemple, celui que nous mettons en évidence dans le titre authentification double ou authentification multifactorielle, et c’est que l’entreprise révèle que 99,9% des comptes compromis qu’ils ont détectés n’avaient pas cette couche de protection supplémentaire. C’est un fait à considérer car nous parlons du responsable de l’un des services les plus populaires au monde: en grand nombre, ils suivent plus de 30 milliards de connexions quotidiennes et plus d’un milliard d’utilisateurs actifs par mois.

Leurs conclusions à cet égard méritent donc d’être retenues: le nombre moyen de comptes compromis détectés par mois tourne autour de 0,5%, ce qui en janvier 2020 s’élevait à environ 1,2 million; dont 99,9% n’ont pas utilisé la double authentification. Ceci dans le plan général. Dans l’entreprise spécifique, cela ne s’améliore pas beaucoup et seulement 11% des utilisateurs professionnels ont activé la double authentification au cours de la même période.

La double authentification améliore de façon exponentielle la sécurité

Comme nous le disons, l’utilisation de la double authentification ne suppose pas d’être protégée contre une attaque, mais elle améliore la sécurité de votre compte de manière exponentielle. Selon Microsoft, il s’agit de «une solution qui arrête la plupart des attaques de compte automatiques«, Qui sont les plus efficaces en termes généraux pour obtenir un accès illégitime.

Ainsi, les mesures de protection adoptées par les services ont rendu les attaques obsolètes telles que la force brute, tandis que d’autres telles que la «pulvérisation de mot de passe», par laquelle un mot de passe commun est testé avec une liste de noms d’utilisateurs jusqu’à ce qu’il réussisse ; ou la répétition de mots de passe, pour lesquels l’attaquant prend des informations d’identification filtrées à partir d’autres services et les teste dans un compte Microsoft, en attendant que l’utilisateur les réutilise.

Ce dernier se produit généralement très souvent, malgré le fait qu’il s’agit de l’une des erreurs les plus averties lors de la mise en œuvre d’un guide de bonnes pratiques de gestion des mots de passe. Microsoft certifie: «Nous savons que 60% des utilisateurs réutilisent les mots de passe. C’est très courant », explique un expert Microsoft. Et ce qui est pire: «Ne soyez pas confus. Les gens réutilisent leurs comptes d’entreprise dans des environnements non commerciaux ».

À cet égard, Microsoft note que la grande majorité des attaques par pulvérisation ou répétition de mots de passe qui atteignent leur objectif sont exécutées et dirigées vers des protocoles d’authentification hérités plus anciens, tels que SMTP, IMAP, POP et autres. D’où l’insistance sur l’activation de la double authentification ou de l’authentification multifactorielle, puisqu’elle n’est pas limitée à deux étapes ou à seulement deux méthodes.

Plus précisément, 99% des attaques par pulvérisation de mots de passe et 97% des attaques par répétition de mots de passe sont effectuées à l’aide de ce type de protocoles d’authentification hérités, précisément parce qu’ils ne prennent pas en charge les méthodes d’authentification multifactorielle. Il n’y a pas de discussion sur ce sujet pour Microsoft, qui avertit un 67% de réduction de l’efficacité des attaques lorsque l’utilisateur désactive les protocoles d’authentification hérités.