Table of contents
Authentification FIDO2 avec Identity360
ManageEngine Identity360 renforce la sécurité en déployant l’authentification FIDO2, conçue pour offrir un accès anti-hameçonnage et sans mot de passe aux applications d’entreprise, au portail Identity360, aux VPN, etc. Identity360 permet une authentification FIDO2 sure et personnalisable via l’API WebAuthn. Cela prend en charge les authentificateurs FIDO2 natifs et d’itinérance.
Qu’est-ce que l’authentification FIDO2 ?
FIDO2 (Fast Identity Online) est une norme d’authentification ouverte élaborée par l’Alliance FIDO, alliance de leaders du secteur ayant pour mission d’éliminer la dépendance aux mots de passe. L’authentification FIDO2 marque un progrès majeur de l’accès sécurisé sans mot de passe. Elle permet aux utilisateurs de s’authentifier sans dépendre de mots de passe classiques, souvent faibles et sujets aux violations. L’authentification FIDO2 utilise des méthodes de chiffrement avancées pour sécuriser les identités d’utilisateur, offrant un niveau de protection élevé sur diverses plateformes.
En quoi consiste l’Alliance FIDO ?
L’Alliance FIDO est un organisme à but non lucratif fondé en 2013 avec la mission de réduire une dépendance excessive aux mots de passe. L’alliance réunit des leaders technologiques, des fournisseurs de services et des établissements financiers pour élaborer et promouvoir des normes d’authentification qui renforcent la sécurité et améliorent l’expérience utilisateur.
Fonctionnement de l’authentification FIDO2 dans Identity360
L’authentification FIDO2 utilise un solide cadre de chiffrement à clés publiques, où chaque identifiant FIDO (généralement appelé une clé d’accès FIDO) consiste en une seule paire de clés, une publique et une privée. La clé privée est stockée en toute sécurité sur l’appareil de l’utilisateur (ordinateur, téléphone mobile ou clé de sécurité dédiée), avec des méthodes de chiffrement matériel avancées. Parallèlement, Identity360 conserve la clé publique en sécurité en l’associant précisément à l’utilisateur et son appareil inscrit.
Lorsqu’un utilisateur tente de s’authentifier, le processus débute par sa vérification sur l’appareil inscrit. Cette vérification peut s’opérer de diverses façons, comme l’entrée d’un PIN, d’un mot de passe à usage unique (OTP) ou à l’aide de données biométriques (empreinte digitale ou reconnaissance faciale).
Une fois l’identité confirmée, l’appareil génère des données d’assertion, qui incluent une signature numérique créée avec la clé privée de l’utilisateur. Les données d’assertion sont ensuite envoyées à Identity360 pour vérification. Le système vérifie la validité de l’assertion avec la clé publique correspondante stockée dans sa base de données pour cet utilisateur. Si la vérification réussit, l’accès est octroyé ; sinon, il est refusé.
L’utilisateur vérifie son identité sur l’appareil inscrit via un PIN, un OTP ou des données biométriques.
L’appareil génère des données d’assertion, incluant une signature numérique créée avec la clé privée de l’utilisateur.
Les données d’assertion sont envoyées à Identity360 pour vérification.
Identity360 vérifie les données d’assertion avec la clé publique correspondante stockée dans sa base de données.
L’accès est octroyé si la vérification réussit ; sinon, il est refusé.
Types d’authentificateurs FIDO2
Avant de pouvoir créer un jeu unique de clés d’accès FIDO2, un appareil doit d’abord vérifier que l’individu demandant l’accès est autorisé (pas une entité malveillante). La vérification s’effectue via un authentificateur, soit un dispositif pouvant accepter diverses formes d’entrée utilisateur (PIN, biométrie ou autres).
Authentificateurs FIDO pris en charge par Identity360
Authentificateurs d’itinérance
Les authentificateurs d’itinérance sont des dispositifs portables fonctionnant indépendamment de l’appareil de l’utilisateur. Cela inclut des clés de sécurité portables comme YubiKey et Google Titan. Un utilisateur peut s’authentifier en insérant une clé FIDO et appuyant sur un bouton ou fournissant une entrée biométrique, comme une empreinte digitale, sur son appareil mobile. Les authentificateurs d’itinérance sont polyvalents, permettant à l’utilisateur de s’authentifier sur plusieurs plateformes et appareils de presque n’importe où.
Authentificateurs natifs
En revanche, les authentificateurs natifs sont intégrés directement aux appareils des utilisateurs, comme des postes de travail, des ordinateurs portables, des smartphones ou des tablettes. Ces authentificateurs utilisent des fonctions biométriques et des puces matérielles spécialisées pour sécuriser les clés d’accès. Pour s’authentifier, l’utilisateur doit se connecter à des services compatibles FIDO via son appareil, puis vérifier son identité via le même appareil, en général avec un PIN ou par biométrie. Les exemples d’authentificateur natif comprennent Windows Hello, Apple Touch ID ou Android Biometrics.
Cas d’usage de l’authentification FIDO2
Télétravail et sécurité VPN
L’authentification FIDO2 offre un accès VPN sécurisé sans mot de passe aux télétravailleurs, renforçant la sécurité et réduisant le vol d’identifiants dans les environnements de travail hybrides.
Vérification d'identité numérique
L’authentification FIDO2 rationalise la vérification d’identité numérique pour les services en ligne (par exemple, e-commerce), renforçant la confiance dans les transactions et simplifiant la création de compte et les achats.
Opérations bancaires et financières
L’authentification FIDO2 renforce la sécurité des opérations bancaires en permettant aux clients d’approuver des paiements et des transferts par voie biométrique, réduisant la fraude et les risques.
Accès à des services publics
L’authentification FIDO2 sécurise l’accès à des services publics comme les déclarations de revenus ou la sécurité sociale pour une meilleure protection des données et une expérience en ligne conviviale.
Avantages de l’authentification FIDO2 avec Identity360
Expérience sans mot de passe
L’authentification FIDO2 offre une expérience de connexion facile, sans mot de passe, avec la biométrie ou des clés de sécurité FIDO2, évitant d’avoir à gérer des mots de passe.
Multiplicité des clés d’accès
Identity360 permet à l’utilisateur d’inscrire jusqu’à cinq clés d’accès FIDO2 correspondant à différents appareils et plateformes.
Authentificateurs spécifiques
Identity360 permet à l’entreprise d’utiliser à la fois des authentificateurs d’itinérance et natifs, personnalisables selon ses besoins précis et les préférences des utilisateurs.
Réduction de coûts
L’authentification FIDO2 aide l’entreprise à réduire les coûts de support informatique en limitant les problèmes liés aux mots de passe comme la réinitialisation ou le verrouillage de compte.
Protection contre le phishing
L’authentification FIDO2 protège intrinsèquement contre les attaques d’hameçonnage car elle est liée à l’appareil de l’utilisateur et pas sujette aux attaques par relecture ou interception.
Conformité et pérennité
L’adoption de l’authentification FIDO2 met l’entreprise en conformité avec les normes de sécurité des données comme le RGPD et offre une solution pérenne pour les besoins futurs.
Déploiement de l’authentification FIDO2 avec ManageEngine Identity360
Configuration personnalisable
Choisissez le type de clés d’accès, la préférence de vérification d’utilisateur et définissez le nombre d’identifiants que l’utilisateur peut inscrire.
Inscription simple
Offre une console intuitive pour une inscription et authentification FIDO2 facile des utilisateurs.