Mots de passe d'adieu. Bonjour Comportemental et Authentification biométrique

David Vergara, février 17, 2017

Avant qu'il n'y ait des «preppers», il y avait les détenteurs d'enseignes, qui proclamaient hardiment, «La fin est proche» sur les coins de rue, dans les stades de football, et en fait partout où de grandes foules se sont rassemblées. Aujourd'hui, il ya des experts (et d'autres) dans l'industrie de la sécurité annonçant un message similaire, la fin, ou de vraiment mettre un point fin sur elle, la mort de mots de passe statiques est proche. Pas de surprise, vraiment, sur toutes les raisons pour lesquelles les mots de passe devraient simplement disparaître:

  • Ils sont statiques
  • Ils sont facilement piratés/ volés
  • Ils sont difficiles à retenir
  • Ils sont souvent réutilisés d'un site à l'autre, maximisant l'impact des violations.

Donc, si les mots de passe disparaissent, il est logique de se demander ce qui va prendre leur place?

En bref, la technologie de sécurité qui minimise la friction et aux fins de cette discussion, l'authentification comportementale.

Sécurité et confiance

Sécurité et confiance de signature électronique

Construire la confiance numérique grâce à la sécurité, l'authentification, la vérification et la fiabilité

Télécharger

À un niveau d'authentification biométrique de haut niveau reflète des technologies comme les scans d'empreintes digitales, la reconnaissance vocale et l'authentification selfie pour sécuriser les applications et services d'une entreprise. En d'autres termes, la biométrie utilise les aspects physiques et comportementaux de chaque individu comme base d'authentification sécurisée.

De façon appropriée, dans l'industrie des soins de santé, les fournisseurs du Réseau de santé Novant à quatre États peuvent lier les données biométriques d'un patient lors de l'inscription (p. ex. empreintes digitales, reconnaissance de l'iris, veines — dans le doigt ou la paume — et le visage) à son dossier médical pour produire une signature unique qui peut plus tard être utilisée pour appeler rapidement leur dossier médical.

Et avant de diminuer l'importance de cette technologie, le Groupe de recherche sur la biométrie prévoit que ces technologies généreront plus de 9 milliards de $US de revenus d'ici 2018 pour l'industrie de la biométrie.  

Les analystes, eux aussi, prêtent attention à cette évolution. En fait, Mercator Advisory Group, un conseiller de confiance pour les paiements et les industries bancaires à l'échelle mondiale, a récemment publié un rapport intitulé « La biométrie : une nouvelle ride change le paysage d'authentification », qui suggère la nécessité de solutions logicielles comme l'authentification biométrique multimodale pour stimuler l'innovation ainsi que la sécurité.

Mercator suggère en outre que, avec le temps, le concept d'« identité persistante » où l'authentification n'est plus uniquement un événement de défi unique tel qu'une analyse d'empreintes digitales, mais évolue en une valeur de confiance passive unique associée à un individu. Cette « valeur de confiance » sera continuellement mise à jour en fonction de facteurs tels que l'emplacement, le son, la reconnaissance faciale et, de façon significative, « une gamme d'entrées comportementales ». Avec tous ces points de données, il serait logique que la voie évolutive initiale pour les mots de passe sera de travailler aux côtés de la biométrie pour augmenter la sécurité pour les transactions « plus risquées ».  

Alors, quelles sont ces entrées comportementales?

Autrement dit, ils sont la façon dont vous interagissez avec votre appareil; comment vous tenez et utilisez votre souris, faites des frappes, à quelle vitesse vous déplacez de ligne en ligne ou d'une page à l'autre. Ces actions, analysées et apprises, au fil du temps, sont interpolées par des algorithmes pour établir un modèle unique de chaque utilisateur afin de déterminer si c'est le même utilisateur demandant l'accès ou la fraude potentielle(authentification comportementale).

Lorsque le comportement de l'utilisateur (ou de la machine) essayant de se connecter ne correspond pas au modèle d'utilisateur établi, la technologie peut « intensifier » l'authentification, qui peut inclure une mesure d'authentification biométrique supplémentaire ou une question de sécurité, par exemple.

À l'heure actuelle, vous pensez probablement que sur le papier que tout sonne bien, mais qu'en est-il dans la pratique? Par exemple, y a-t-il des banques qui utilisent aujourd'hui ce genre d'outils d'authentification comportementale à la pointe du saignement? Bien que VASCO vient d'entrer sur ce marché via un partenariat avec BehavioSec, la réponse plus large est... Oui!

  • Une grande filiale d'une banque britannique, a incorporé des logiciels d'apprentissage automatique, intégré s'intègreà avec l'application mobile de la banque et le site bancaire en ligne, pour surveiller et capturer des mesures sur 500 différents clients bancaires en ligne et les comportements mobiles. Ceux-ci comprennent tout de littéralement l'angle auquel un utilisateur tient son téléphone à la quantité de pression utilisée quand un client tape sur un écran et même la cadence des coups de clavier. Toutes ces données sont compilées pour établir un profil biométrique unique pour chaque client, en le comparant à chaque fois qu'un utilisateur se connecte à une application ou à un site bancaire en ligne.
  • Une filiale d'une banque du Moyen-Orient, a également introduit une solution intégrée de vérification d'identité mobile basée sur la biométrie comportementale. La technologie sélectionnée surveille en permanence chaque activité in-app basée sur un profil d'utilisation personnel unique au sein de l'appareil mobile. Cela comprend des choses comme la taille des doigts, la pression tactile et la zone de frappe, donnant à la banque la possibilité d'identifier, en temps réel, si le propriétaire de la carte est en fait l'individu d'accéder et d'utiliser l'application. Un vice-président exécutif de la banque, suggère que, pour eux, les formes passives de la biométrie comme l'authentification comportementale étaient attrayants "parce qu'ils sont beaucoup plus naturels, transparentes et beaucoup moins intrusive pour les utilisateurs que des choses comme la reconnaissance faciale et l'iris scans qui les obligent surtout à s'arrêter et à prendre des mesures.

En résumé, beaucoup croient que la mort du mot de passe va devenir une réalité bientôt - un factoid intéressant fourni dans cet article de nouvelles de 2004 où Bill Gates prédit la disparition du mot de passe traditionnel - ici en 2017. Cependant, l'évolution pragmatique du mot de passe en fera d'abord un complément à une approche de sécurité plus stratifiée, en tirant parti de la biométrie et d'autres données contextuelles. À partir de ce point, vous pouvez compter les jours avant que les mots de passe sont officiellement lancés sur le trottoir.

David Vergara est directeur principal du marketing des produits de sécurité à OneSpan. Il possède plus de 15 ans d’expérience en plateformes nuagiques et logiciels en tant que services, en analyse prédictive et en technologies avancées d’authentification multi-facteurs. Dans le cadre de ses fonctions actuelles, il est responsable de la stratégie de mise en marché et de son exécution pour toutes les gammes de produits d’authentification et d’analyse des risques. Avant de se joindre à OneSpan