Qu'est-ce que l'authentification forte?
L’authentification forte est généralement considérée comme une méthode multifactorielle permettant de confirmer l’identité d’une personne cherchant à accéder à des informations ou à entrer dans une zone restreinte. Les facteurs permettant de vérifier l’identité d’un individu sont une chose que la personne sait, quelque chose que la personne a et une chose physiquement particulière à cette personne. Un système nécessitant deux des trois facteurs est un système d'authentification à deux facteurs. C'est le niveau minimal de vérification nécessaire pour être considéré comme une authentification forte.
Le premier de ces facteurs d’identification, ce que la personne sait, est une information présumément secrète. Cela peut être un mot de passe ou un numéro d'identification personnel (PIN). Le deuxième facteur, quelque chose dont la personne dispose, est un élément unique, tel qu'un document d'identité (ID), un passeport ou un jeton matériel. Le troisième facteur est une caractéristique d'identification physique telle qu'une empreinte digitale ou un balayage rétinien. Une implémentation courante de l'authentification forte utilisant deux de ces facteurs est l'utilisation d'un code PIN avec une carte bancaire.
Les défis multiples au même facteur ne font rien pour améliorer la vérification et ne sont pas considérés comme une authentification forte. Exiger la saisie d'un nom d'utilisateur, d'un mot de passe et de plusieurs autres informations qu'un individu peut connaître constitue un défi pour un seul facteur. Il en va de même pour l'évaluation de plusieurs identifiants biométriques pour un individu. La sécurité d'un système est rendue plus difficile à compromettre uniquement par la contestation de deux ou des trois types de facteurs de vérification d'identité.
Le contrôle de l'accès aux ordinateurs implique souvent l'utilisation de méthodes d'authentification fortes. La procédure courante consiste à authentifier l'identité de l'utilisateur qui cherche à accéder, puis à lui attribuer les privilèges précédemment attribués à cet utilisateur. L'accès aux ordinateurs de l'entreprise ou même aux ordinateurs personnels peut impliquer un mot de passe attribué associé à une carte à puce ou l'utilisation d'un périphérique biométrique. Une fois l'identité vérifiée, l'utilisateur peut toujours être soumis aux restrictions mises en place par l'administrateur système. L'authentification n'implique pas nécessairement une autorisation.
Il est généralement considéré impossible de vérifier l'identité d'un utilisateur avec une certitude absolue. La fiabilité d'un système d'authentification est souvent un compromis entre sécurité et facilité d'utilisation ou contraintes économiques. L'utilisation réussie de l'authentification forte est directement liée à la fiabilité des facteurs d'identification impliqués. Les entreprises qui suivent une gestion des mots de passe laxiste risquent de compromettre une partie de l'authentification. Il en va de même pour un individu s'il utilise le même mot de passe dans toutes les interactions.