Généralisez la double authentification en simplifiant l’expérience utilisateur !

Trop de sécurité tue la sécurité

Le sujet de l’authentification multi-facteur est une bonne illustration de l’adage « Trop de sécurité tue la sécurité ».

La sécurité a souvent tendance à rendre l’utilisation de l’informatique plus complexe pour les utilisateurs. Ils contournent ou réduisent alors les mécanismes de sécurité afin d’être plus efficaces dans leur travail. C’est le cas par exemple de l’authentification forte au Windows Logon.

En effet, malgré la sensibilisation des utilisateurs à utiliser des mots de passe toujours différents et complexes, l’authentification forte reste un bien meilleur moyen de réduire les risques d’usurpation de credentials. Cependant peu d’entreprises l’utilisent aujourd’hui pour le Windows Logon par peur d’excéder les utilisateurs à chaque verrouillage de session.

Windows Logon MFA

Nous vous les avions déjà présentés il y a quelques années lors d’un petit déjeuner sécurité : Deepnet Security et leur produit phare, DualShield viennent de publierune nouvelle fonctionnalité liée au Windows logon.

Si vous souhaitez protéger les stations de travail de vos utilisateurs avec un second facteur d’authentification, la solution la plus mature du marché est sans aucun doute DualShield Desktop Logon. Son avantage est qu’elle permet le verrouillage MFA même lorsque le PC n’est connecté à aucun réseau.

L’authentification fonctionne de la manière suivante :

La solution se base sur 3 composants :

  • Un serveur d’authentification (3)
  • Un agent installé sur un serveur Windows (2)
  • Un programme client sur le poste de l’utilisateur (1)

Lors du processus d’authentification, le programme client récupère les informations d’identification et les communique à l’agent. Ce dernier fait office de pont entre le client et le serveur d’authentification DualShield .

Conservation de l’OTP

Afin d’améliorer l’expérience utilisateur, il est possible de configuer DualShield afin qu’il conserve en mémoire les derniers mots de passe de l’utilisateur, ainsi celui-ci n’aura qu’à entrer son OTP pour se connecter sur son poste. Cette fonctionnalité à récemment évoluée afin de vous laisser le choix entre la conservation de l’OTP ou du mot de passe.

En effet, il peut être usant pour un utilisateur d’avoir à sortir son téléphone ou son token physique à chaque fois qu’il s’éloigne de son ordinateur.  DualShield vous laisse donc maintenant la possibilité de conserver le token afin de n’avoir à refaire une double authentification qu’au bout d’un certain temps et non pas à chaque vérouillage de session.

Pour activer cette fonctionnalité, rien de plus simple :

  • Connectez-vous à la machine hébergeant l’agent DualShield et lancer DualShield Windows Logon Manager
  • Rendez-vous ensuite dans l’onglet General Policy
  • Vous trouverez dans cet onglet la partie MFA Exemption

Comme vous pouvez le voir, vous pourrez définir une durée d’exemption du token après une connexion réussie.

Conclusion

Les nouveaux mécanismes de conservation de l’OTP, réduisent le nombre d’authenfication mais apportent une flexibilité qui nous permet aujourd’hui de fortement recommander la mise en place d’OTP au Windows Logon et ainsi augmenter le niveau de sécurité des entreprises.

Auteur : Audric Briot

>>> Contactez-nous pour en savoir plus.