Les clés d’accès sont conçues pour remplacer les mots de passe et lutter contre les attaques de phishing, mais Google et Microsoft préviennent qu’elles sont insuffisantes si des méthodes de récupération plus faibles restent utilisées. « Chaque compte est aussi sécurisé que son identifiant le plus faible », a déclaré Microsoft, notant que les mots de passe et la récupération par SMS peuvent créer de nouvelles vulnérabilités même après le déploiement des clés d’accès.
Google a reconnu que « les mots de passe constituent un moyen plus simple et plus sûr d’accéder aux comptes en ligne par rapport aux mots de passe et même aux méthodes multifactorielles traditionnelles », mais a souligné qu’ils ne sont pas entièrement sûrs en eux-mêmes. La société a averti les utilisateurs que « même lorsque vous utilisez normalement un mot de passe, il est important de sécuriser votre compte avec une vérification en deux étapes (2SV) ». Cette couche de sécurité supplémentaire est essentielle, en particulier si quelqu’un tente de se faire passer pour l’utilisateur et prétend avoir perdu son mot de passe.
Les processus de récupération automatisés qui exploitent des informations d’identification plus faibles peuvent contourner un mot de passe, ce qui rend essentiel une sécurisation accrue des comptes. Microsoft a signalé la récupération de compte comme une nouvelle surface d’attaque à mesure que l’adoption des clés d’accès augmente et que les méthodes d’attaque traditionnelles diminuent. « Le déploiement de clés d’accès améliore la connexion », a noté Microsoft, « mais la plupart des comptes sont toujours associés à un mot de passe ou à une méthode SMS » juste au cas où « – et tant que ces informations d’identification existent, elles constituent une surface d’attaque. »
La méthode de récupération recommandée consiste à utiliser le mot de passe du compte sur un autre appareil pour effectuer les étapes de récupération. Microsoft a également suggéré des méthodes de récupération à haute assurance qui nécessitent une pièce d’identité émise par le gouvernement et une vérification biométrique, comme une analyse du visage, en déclarant : « Comme le recommande le NIST, la récupération à haute assurance nécessite une pièce d’identité émise par le gouvernement et une vérification biométrique. »
Ce guide s’adresse principalement aux utilisateurs professionnels pour Microsoft et aux utilisateurs particuliers pour Google. Malgré un public différent, les deux sociétés reconnaissent les menaces qui persistent. Google a souligné que les comptes de grande valeur comme Gmail sont constamment attaqués, exhortant les utilisateurs à mettre en œuvre 2SV pour renforcer la sécurité. Les utilisateurs doivent également sélectionner des formes efficaces de 2SV, telles que les invites Google et une application Authenticator, tout en abandonnant les codes SMS à usage unique, considérés comme des méthodes plus faibles.
Alors que l’adoption des clés d’accès s’accélère, Microsoft a réitéré que les protections ne fonctionneront que si les utilisateurs éliminent toutes les informations d’identification hameçonnables. L’avertissement de Google concernant les limitations des mots de passe est particulièrement pertinent alors que les attaquants commencent à se concentrer sur les flux de récupération et les méthodes d’authentification de secours. L’évolution continue des menaces nécessite une stratégie de sécurité globale qui inclut des méthodes de récupération robustes au-delà de la simple mise en œuvre de mots de passe.
