L’authentification silencieuse à deux facteurs (SSFA) est un moyen de fournir une authentification à deux facteurs (2FA) sans initier une communication séparée avec le client sur un nouveau canal. Au lieu de demander au client de soumettre un code de vérification transmis par un canal distinct, SSFA demande au réseau de desserte d’authentifier l’appareil utilisé par le client. Cela permet non seulement d’améliorer l’expérience de l’utilisateur, puisque la session du client n’est pas interrompue par la réception et la resoumission d’un code d’accès, mais c’est également plus sûr, car il est imperméable aux attaques de type « man-in-the-middle » qui interceptent et réaffectent le code d’accès.
Authentification à deux facteurs ou authentification silencieuse à deux facteurs
L’authentification à deux facteurs (2FA) est une mesure de sécurité qui exige des utilisateurs qu’ils fournissent deux moyens différents de vérifier leur identité lorsqu’ils accèdent à un système. Le premier facteur est généralement quelque chose que l’utilisateur connaît, comme un mot de passe ou un code PIN, tandis que le second est généralement quelque chose que l’utilisateur possède, comme une clé de sécurité ou un smartphone. Avec deux facteurs, le 2FA fournit une couche de sécurité supplémentaire qui rend plus difficile pour les attaquants d’obtenir l’accès avec des identifiants hameçonnés, piratés ou volés.
Certaines méthodes 2FA reposent sur la possession d’un jeton physique ou numérique comme deuxième facteur, mais la forme la plus courante de 2FA est un code de passe à usage unique (OTP) envoyé par SMS à un smartphone. L’objectif du SMS OTP est de s’assurer que le client est en possession du téléphone avec le numéro de mobile associé au compte du client. Lorsque le 2FA par SMS OTP est utilisé, un fraudeur dont les informations d’identification ont été piratées ne peut pas se connecter s’il n’a pas également volé et déverrouillé le téléphone de la victime.
Le SSFA offre les avantages du 2FA en utilisant une connexion sécurisée à l’opérateur de réseau mobile pour vérifier le numéro de mobile de l’appareil connecté que le client utilise, au lieu de vérifier la possession par l’envoi d’un SMS OTP. Cette méthode est plus sûre et plus discrète et, comme la partie se fiant à la vérification ne demande qu’une vérification par oui ou par non, l’opérateur de réseau n’a pas à divulguer d’informations personnelles sur l’abonné mobile.
Des fraudeurs plus sophistiqués peuvent essayer de contourner à la fois le 2FA par SMS OTP et le SSFA en prenant le contrôle du compte mobile de la victime. Il est également possible de se prémunir contre ce risque, ce qui fera l’objet d’un prochain article.
Avantages de l’authentification silencieuse à deuxième facteur
L’authentification silencieuse à deuxième facteur présente des avantages par rapport à d’autres solutions en raison de sa capacité à améliorer simultanément la sécurité et l’expérience du client.
Un OTP par SMS peut être redirigé ou intercepté par un fraudeur à l’aide d’une attaque d’ingénierie sociale. Des fraudeurs se faisant passer pour des professionnels de la sécurité bancaire sont connus pour appeler des clients de banques et les inciter à révéler les SMS OTP envoyés par la banque. Le fraudeur peut demander à la victime de participer à un « test » pour vérifier la sécurité de son compte. On leur dit qu’une partie du test implique la transmission d’un SMS OTP au téléphone de la victime pour s’assurer que celle-ci reçoit le bon code. Pendant ce temps, le fraudeur utilise des informations d’identification volées pour se connecter au compte de la victime. Lorsque la banque envoie à la victime un SMS OTP pour vérifier la tentative de connexion, le fraudeur dit à la victime qu’il s’agit du code de test que la victime doit répéter au fraudeur. Le fraudeur utilise ensuite le code pour accéder au compte du client. Comme SSFA ne repose pas sur un code d’accès, le détournement d’un code n’est pas possible.
En ce qui concerne l’expérience client, l’accusé de réception et le renvoi d’un SMS OTP interrompent l’expérience utilisateur du client. SSFA permet aux utilisateurs de se connecter rapidement et facilement grâce à un processus simplifié qui fonctionne en arrière-plan.
Conclusion
Dans l’ensemble, l’authentification silencieuse à deuxième facteur est une option pratique et sûre pour les entreprises qui cherchent à protéger leurs comptes clients contre les accès non autorisés en ajoutant une couche de sécurité tout en minimisant la friction de la part de l’utilisateur. Par conséquent, le SSFA pourrait bien être l’évolution du SMS OTP pour l’accès aux comptes via des appareils mobiles.
EnStream propose l’authentification silencieuse à deux facteurs, un moyen sûr et pratique de protéger vos comptes en ligne. Contactez EnStream dès aujourd’hui pour en savoir plus sur la façon dont notre SSFA peut contribuer à la sécurité de vos comptes.