Pourquoi devriez-vous éviter d’utiliser des mots de passe à usage unique envoyés par SMS

L’un des moyens les plus pratiques pour les utilisateurs mobiles de se connecter à des applications – et la méthode sur laquelle s’appuient de nombreuses entreprises pour accorder l’accès – est un mot de passe à usage unique, ou OTP, qui est souvent partagé par SMS. Mais il existe un consensus croissant parmi les experts en cybersécurité selon lequel les mots de passe à usage unique, comme les mots de passe traditionnels, devraient être progressivement supprimés, même si les experts estiment qu’il est peu probable que cela se produise de si tôt.

Les consommateurs sont invités à prêter attention aux différents types de mots de passe à usage unique et aux risques de sécurité relatifs par rapport aux avantages que chacun offre. L’expérience montre qu’il existe toujours des moyens de contourner l’authentification, mais certaines méthodes sont plus efficaces que d’autres, selon Ant Allan, vice-président analyste chez Gartner Research. « Il n’existe pas de méthode d’authentification infaillible », a déclaré Alan.

Voici ce que les consommateurs doivent savoir sur les mots de passe à usage unique (OTP) et la sécurité en ligne :

Les cartes OTP sont vulnérables à la fraude en ligne

Les mots de passe à usage unique (OTP) envoyés par SMS sont plus vulnérables aux attaques des fraudeurs par divers moyens tels que les attaques de phishing, l’usurpation d’identité et la sécurité frauduleuse chez Javelin Strategy & Research, a déclaré Tracy C. Kitten, directrice de la fraude et de la sécurité. sécurité chez Javelin Strategy & Research, et intercepter des messages, même si vous avez votre téléphone en votre possession.

Le problème est aggravé par le fait que lorsqu’un compte mobile ou un site Web est piraté, vous ne vous en rendez peut-être pas compte immédiatement. « Vous pouvez par exemple demander à une banque d’envoyer un SMS, puis de le renvoyer, sans vous rendre compte que quelqu’un d’autre l’a reçu », explique Keaten. « Cela peut prendre 45 minutes avant de réaliser que quelque chose ne va pas, et en plus. point, il est trop tard.

Utilisez l’application d’authentification de Google et Microsoft

La meilleure option, même si elle n’est pas une solution miracle, consiste à télécharger une application d’authentification, telle que Google Authenticator ou Microsoft Authenticator, sur un appareil mobile, disent les experts en sécurité. Les applications d’authentification sont toujours vulnérables à certains types d’attaques « ennemies du milieu », mais elles restent plus sécurisées que les SMS, a déclaré Allan.

Avec une application d’authentification, les utilisateurs reçoivent un code unique à chaque fois qu’ils se connectent, et le code expire, généralement après 30 à 60 secondes. Rien n’est envoyé au numéro de téléphone. L’application d’authentification se trouve sur votre appareil mobile, donc si le téléphone est protégé par mot de passe et que vous activez la reconnaissance faciale, cela réduit considérablement le risque que quelqu’un puisse accéder à ces codes, a déclaré Kitten.

Il existe encore des vulnérabilités potentielles qui reposent sur la nécessité de saisir du code, explique Cédric Thevenet, vice-président et responsable des ventes et des cybersolutions chez Capgemini Americas. Par exemple, disons que quelqu’un reçoit un e-mail qui semble provenir d’une entreprise ou d’un fournisseur avec lequel il traite régulièrement, mais qui constitue en réalité une tentative de phishing bien déguisée. Grâce à l’intelligence artificielle, ces types d’e-mails de phishing sont devenus plus difficiles à détecter, a déclaré Thevenet.

Si un utilisateur inattentif clique sur le lien, il peut être redirigé vers un site Web qui semble légitime, mais qui ne l’est pas. La personne saisit son nom d’utilisateur et son mot de passe sur le site Web du pirate informatique, pensant qu’il s’agit du site Web du fournisseur de services, puis lorsqu’on lui demande le code d’authentification, elle le saisit également. Désormais, comme l’explique Thévenet, le pirate informatique a accès au compte de la personne.

Pensez aux applications mobiles payantes pour une meilleure protection

Il existe une option d’authentification plus sécurisée qui fonctionne conjointement avec les applications mobiles sur le téléphone de l’utilisateur. Lorsque les utilisateurs se connectent au site Web de leur banque ou d’un autre type de fournisseur de services, ils reçoivent une notification dans l’application correspondante sur leur téléphone leur demandant de vérifier leur identité avec cette notification.

Cette méthode de vérification est indépendante de l’appareil à partir duquel vous vous connectez et est meilleure que les SMS ou les mots de passe à usage unique pour l’authentification, mais certaines attaques peuvent également fonctionner contre cette méthode, a déclaré Alan. Un pirate informatique peut essayer à plusieurs reprises de se connecter au compte de quelqu’un en utilisant un mot de passe volé et l’utilisateur recevra plusieurs messages sur son téléphone pour vérification. Si la personne n’y prête pas attention ou veut simplement cesser d’être ennuyeuse, elle peut cliquer pour vérifier et ainsi donner au pirate l’accès au compte.

Choisissez une clé de sécurité matérielle lorsque cela est possible

Une meilleure option consiste à utiliser une clé de sécurité physique comme un Yubico. Une clé peut être utilisée avec plusieurs applications et services. Du point de vue de la sécurité, c’est mieux que les SMS ou une application d’authentification, a déclaré Alan. Mais il y a un investissement. Une clé peut coûter entre 20 et 60 dollars, voire plus, et les gens doivent faire attention à ne pas la perdre.

Ce n’est pas non plus pratique dans toutes les situations. Le détaillant en ligne ne donnera pas de clé à chacun de ses clients pour des raisons de coût et de praticité, a expliqué Thévenet.

Supprimez les mots de passe de l’équation avec des clés d’accès multi-appareils

Bien que l’utilisation de clés d’accès multi-appareils, qui remplacent le besoin de mots de passe, ne remplace pas nécessairement un mot de passe à usage unique, elle rend plus difficile l’accès d’un attaquant à vos comptes. Les clés d’accès consistent en une « clé privée » stockée sur l’ordinateur ou le téléphone de l’utilisateur et en un cryptage par clé publique, selon l’Alliance FIDO, un consortium ouvert dont l’objectif est de réduire la dépendance mondiale aux mots de passe.

En plus d’éliminer certains inconvénients liés aux mots de passe, les mots de passe protègent les utilisateurs contre les attaques de phishing, car ils ne fonctionnent que sur les sites Web et les applications sur lesquels ils sont enregistrés. Il existe certains problèmes de sécurité, mais à tout le moins, cela « supprime les mots de passe de l’équation, rendant ainsi plus difficile le démarrage d’un attaquant », a déclaré Allan.

D’un point de vue réglementaire, les mots de passe ne sont peut-être pas considérés comme une authentification multifacteur, mais ils peuvent être plus sécurisés que l’utilisation d’un mot de passe et d’un SMS, a déclaré Allan.

Attendez-vous à ce que les mots de passe à usage unique (OTP) par SMS restent utilisés, et il existe un risque

Il existe un large éventail d’options disponibles pour les utilisateurs pour gérer les connexions en ligne en mettant davantage l’accent sur la sécurité, y compris les gestionnaires de mots de passe, mais toutes comportent des risques et, dans une certaine mesure, les consommateurs sont limités aux méthodes d’authentification proposées par différents fournisseurs.

Le directeur général de Protiviti, Dusty Anderson, qui dirige la pratique d’identité numérique de l’entreprise, affirme qu’un de ses clients dépense des dizaines de milliers de dollars par mois pour envoyer des mots de passe à usage unique par SMS. Malgré les soucis de sécurité, le client tient bon car il a peur de causer des ennuis, notamment avec des clients qui ne connaissent pas la technologie et peuvent être réticents à utiliser un autre type d’outil d’authentification.

Pour d’autres raisons, Thevenet a déclaré que les mots de passe temporaires resteraient probablement disponibles sous une forme ou une autre dans un avenir prévisible. Thevenet a ajouté que les options les plus populaires sont peu coûteuses et faciles à utiliser, et que malgré certains risques, ces méthodes restent meilleures qu’un simple mot de passe. « L’envoi d’un mot de passe temporaire par SMS est-il la meilleure solution ? Non. Est-ce mieux qu’un simple mot de passe ?