Systancia Access fournit un module self-service au niveau de la mire de connexion Windows permettant de s’authentifier au niveau du poste de travail ou de changer le mot de passe et il est possible d’utiliser comme moyen d’authentification les questions/réponses
Il s’agit d’un mode d’authentification dégradée sur lequel la sécurité peut être améliorée en respectant les prérequis ci-dessous
Types de questions de sécurité
Il existe deux principaux types de questions de sécurité :
- Les questions définies par l’utilisateur permettent aux utilisateurs de choisir une question au sein d’une liste prédéfinie. Elles ne sont efficaces que si l’utilisateur choisit une réponse difficile à deviner.
- Les questions définies par l’administrateur se basent sur des listes de question que l’administrateur impose aux utilisateurs. Elles ne sont efficaces que si la réponse est trop difficile pour être devinée par un cybercriminel.
Qu’est-ce qu’une bonne question de sécurité ?
Les questions de sécurité doivent remplir les conditions suivantes pour contribuer à une authentification sécurisée :
- Confidentialité : personne d’autre ne doit être capable de deviner ou de trouver la réponse de quelque manière que ce soit. Il s’agit de la condition la plus importante. Si la réponse est facile à deviner ou à trouver, la sécurité du compte est fragilisée. Si une information est connue d’une personne de l’entourage de l’utilisateur ou peut être trouvée en ligne, elle n’est pas confidentielle.
- Mémorabilité : les utilisateurs doivent se souvenir de la réponse, potentiellement pendant longtemps après la création d’un compte. Dans l’idéal, l’utilisateur doit se souvenir immédiatement de la réponse, sans avoir besoin de l’écrire ou de la chercher.
- Cohérence : la réponse à la question ne peut pas changer au fil du temps. Il est recommandé d’éviter les réponses valables uniquement à l’instant T, par exemple des préférences ou des opinions. Utilisez plutôt des faits historiques ou des informations permanentes.
- Simplicité : la réponse doit être précise, claire et facile. Les questions aux réponses ambiguës ou les réponses sensibles à la casse ou dans un format particulier peuvent être difficiles à mémoriser.
-
Multiplicité : il doit exister plusieurs réponses possibles à la question. Plus il y a de réponses possibles, plus la sécurité est grande. Il sera moins probable que quelqu’un parvienne à deviner la réponse ou à l’obtenir par force brute. De nombreux fournisseurs de services vont même jusqu’à bloquer le compte des utilisateurs après un certain nombre de mauvaises réponses.
Liste de questions de sécurité
En tenant compte des principes ci-dessus, nous avons dressé une liste des questions de sécurité courantes.
Exemples de mauvaises questions de sécurité
Ces questions de sécurité sont considérées comme inefficaces, car peu pratiques ou susceptibles d’être exploitées par un individu malveillant :
| Question de sécurité inefficace | Justification |
|---|---|
| Quelle est votre date de naissance ? | Cette information est facile à deviner et n’est pas confidentielle |
| Comment s’appelait votre instituteur préféré ? | Les informations liées à l’enfance sont souvent trop lointaines pour qu'on se les remémore. |
| Quel est votre film préféré ? | Il est probable que la réponse change au fil du temps. |
| Quelle était votre première voiture ? | Le niveau de détail de la réponse est ambigu. |
| Quel est votre signe astrologique ? | Le nombre de réponses possibles est limité. Cette information est facile à deviner ou à trouver. |
Exemples de bonnes questions de sécurité
Les questions ci-dessus ne sont pas suffisamment sûres ou pratiques. Voici ci-dessous une liste de questions plus appropriées :
| Question de sécurité efficace | Justification |
|---|---|
| Dans quelle ville êtes-vous né(e) ? | En règle générale, cette information est moins connue, ce qui la rend plus difficile à deviner. |
| Quel est le deuxième prénom de l’aîné(e) de votre fratrie ? | En règle générale, cette information n’est connue que par les membres de la fratrie ou les parents et est difficile à deviner. |
| Quel est le premier concert auquel vous avez assisté ? | La réponse ne changera pas. |
| Quels étaient le fabricant et le modèle de votre première voiture ? | La question demande des informations précises et spécifique |
| Dans quelle ville vos parents se sont-ils rencontrés ? | Cette information est personnelle. Étant donné qu’il existe de nombreuses réponses possibles, elle est plus difficile à deviner. |
Conseils pour l’utilisation de questions de sécurité
Si vous souhaitez toujours utiliser des questions de sécurité comme méthode de protection supplémentaire, nous vous suggérons de suivre les bonnes pratiques ci-dessous pour réduire les vulnérabilités :
- Limitez les réponses : comparez les réponses avec une liste d’exclusion des réponses courantes, par exemple le nom d’utilisateur ou l’adresse e-mail, le mot de passe actuel de l’utilisateur et les chaînes de caractères faciles à deviner telles que « 123 » et « motdepasse ». Imposer une longueur minimum peut également permettre d’éviter de telles réponses.
- Renouvelez les questions : invitez régulièrement les utilisateurs à passer en revue leurs questions de sécurité et à confirmer qu’ils connaissent toujours les réponses. Vous leur donnez ainsi la possibilité de modifier les réponses qui auraient changé et vous augmentez les chances qu’ils se souviennent de leurs réponses les plus récentes au cas où ils auraient besoin de récupérer l’accès à leur compte.
- Interdisez les questions libres : n’autorisez pas les utilisateurs à définir leurs propres questions. Ils pourraient choisir des questions sécurisées et uniques auxquelles les pirates auraient du mal à répondre, mais aussi des questions non sécurisées et dont les réponses seraient faciles à deviner. Les questions libres dépendent du comportement de l’utilisateur en matière de sécurité. Le fait d’inviter les utilisateurs moins sensibilisés à la sécurité à définir leurs propres questions peut donc augmenter considérablement le risque de piratage de comptes.
- Définissez plusieurs questions de sécurité : poser plusieurs questions aux utilisateurs en même temps peut augmenter le niveau de protection des questions de sécurité, en particulier si les réponses sont variées et qu’elles exigent des cybercriminels qu’ils obtiennent des informations plus confidentielles. Combiner des questions définies par l’utilisateur et par le système peut s’avérer une approche intéressante. Quoi qu’il en soit, lorsqu’un utilisateur doit répondre à une question parmi une sélection, ne le laissez pas en choisir une autre avant qu’il n’y ait répondu correctement. Vous réduirez ainsi le risque que des cybercriminels devinent ou trouvent les réponses dont ils ont besoin pour accéder aux comptes.
Conseils pour des réponses efficaces aux questions de sécurité
L’implémentation de questions de sécurité n’est efficace que si les utilisateurs connaissent les bonnes pratiques. Voici des conseils que vous pouvez donner à vos collaborateurs et clients afin qu’ils renforcent la sécurité de leurs réponses :
- Utilisez de fausses réponses : plutôt que de répondre avec des informations exactes que d’autres personnes pourraient trouver, utilisez une fausse réponse impossible à vérifier, idéalement une chaîne aléatoire de caractères. Traitez les réponses de sécurité comme des mots de passe : plus elles sont aléatoires, mieux c’est.