Pourquoi l'authentification multi-facteurs est-elle si fortement recommandée ?

Les mots de passe seuls sont régulièrement volés par hameçonnage, réutilisation et violations de bases de données. Exiger un second facteur indépendant (un appareil ou une donnée biométrique) signifie qu'un mot de passe volé ne suffit pas pour se connecter, bloquant ainsi la grande majorité des attaques de prise de contrôle de compte.

Quelle est la différence entre le RBAC et l'ABAC ?

Le contrôle d'accès basé sur les rôles accorde des permissions via des rôles attribués aux utilisateurs, ce qui est simple à administrer. Le contrôle d'accès basé sur les attributs prend des décisions à partir des attributs de l'utilisateur, de la ressource et du contexte (tels que l'heure ou le lieu), offrant des politiques plus granulaires et dynamiques au prix d'une complexité accrue.

Authentification et contrôle d'accès

L'authentification vérifie l'identité d'une entité, et le contrôle d'accès détermine ce que cette entité est autorisée à faire ; ensemble, ils constituent les gardiens qui appliquent la politique de sécurité dans tout système multi-utilisateur.

Trouver un sujet avec PaperMindBientôtFind papers & topics

Tools & resources

Télécharger les diapositives

Learn & explore

VidéoBientôt

Definition

L'authentification est le processus d'établissement de la confiance dans une identité revendiquée, tandis que le contrôle d'accès est l'application de règles déterminant quels sujets authentifiés peuvent effectuer quelles opérations sur quelles ressources.

Scope

Ce sujet couvre la vérification d'identité (mots de passe, authentification multi-facteurs, biométrie, identifiants cryptographiques, authentification unique) ainsi que les modèles et mécanismes d'autorisation (listes de contrôle d'accès, capacités, contrôle d'accès basé sur les rôles et basé sur les attributs, le principe du moindre privilège). Il aborde l'identité fédérée et les protocoles tels que OAuth et SAML. Il exclut les primitives cryptographiques sous-jacentes aux identifiants et les contrôles de couche réseau traités dans le cadre de la sécurité des réseaux.

Core questions

Comment un système peut-il vérifier de manière fiable qu'une entité est bien celle qu'elle prétend être ?
Quels sont les compromis entre les facteurs d'authentification basés sur la connaissance, la possession et l'inhérence ?
Comment les modèles de contrôle d'accès (DAC, MAC, RBAC, ABAC) expriment-ils et appliquent-ils la politique ?
Comment le principe du moindre privilège est-il appliqué en pratique ?
Comment l'identité est-elle fédérée entre les organisations via l'authentification unique ?

Key concepts

facteurs d'authentification
authentification multi-facteurs
mots de passe et stockage des identifiants
biométrie
listes de contrôle d'accès et capacités
contrôle d'accès basé sur les rôles (RBAC)
contrôle d'accès basé sur les attributs (ABAC)
moindre privilège
authentification unique et identité fédérée

Key theories

Facteurs d'authentification et authentification multi-facteurs: L'identité est vérifiée par quelque chose que l'on sait (mot de passe), que l'on possède (jeton ou téléphone) ou que l'on est (biométrie) ; la combinaison de facteurs indépendants élève considérablement le niveau de protection contre le vol d'identifiants, car la compromission d'un seul facteur est insuffisante.
Modèles de contrôle d'accès et moindre privilège: L'autorisation est structurée à travers des modèles — contrôle d'accès discrétionnaire et obligatoire, basé sur les rôles (RBAC) et basé sur les attributs (ABAC) — qui, guidés par le principe du moindre privilège, n'accordent à chaque sujet que les droits dont il a besoin, limitant ainsi les dommages en cas de compromission.

Mechanisms

Les mécanismes d'authentification vérifient un facteur : comparaison d'un hachage de mot de passe salé, validation d'un code à usage unique ou d'une signature de jeton matériel, ou correspondance d'un modèle biométrique. L'authentification cryptographique (certificats à clé publique, FIDO2/WebAuthn) prouve la possession d'une clé privée sans envoyer de secret. L'autorisation consulte ensuite une politique : les listes de contrôle d'accès attachent des permissions aux ressources, les capacités les attachent aux sujets, et le RBAC/ABAC calcule les décisions à partir de rôles ou d'attributs. Les protocoles d'identité fédérée (OAuth, OIDC, SAML) permettent à un fournisseur de garantir l'identité d'un utilisateur auprès de nombreux services.

Clinical relevance

L'authentification et le contrôle d'accès sont les points où la plupart des attaques réelles réussissent ou échouent : les mots de passe volés ou susceptibles d'être hameçonnés sont à l'origine de la majorité des violations, c'est pourquoi l'authentification multi-facteurs et les clés d'accès résistantes au hameçonnage (WebAuthn) sont désormais fortement recommandées. Le RBAC régit les permissions dans les entreprises et les plateformes cloud, et l'authentification unique (connexions Google, Microsoft) façonne l'expérience utilisateur quotidienne et ses risques de sécurité.

Evidence & guidelines

Le NIST SP 800-63 (Digital Identity Guidelines) définit les niveaux d'assurance d'authentification et les directives modernes concernant les mots de passe (privilégiant la longueur et la vérification des violations plutôt que la complexité forcée). Le RBAC est normalisé sous INCITS 359, et FIDO2/WebAuthn fournit une authentification résistante au hameçonnage. OAuth 2.0 (RFC 6749) et OpenID Connect normalisent l'autorisation et l'authentification fédérées.

History

Le contrôle d'accès remonte aux premiers systèmes à temps partagé, avec la matrice de contrôle d'accès de Lampson et le modèle obligatoire de Bell-LaPadula qui l'ont formalisé dans les années 1970. Le contrôle d'accès basé sur les rôles a été formalisé par Sandhu et ses collègues en 1996 et est devenu la norme d'entreprise. L'authentification a évolué des mots de passe aux jetons matériels et mots de passe à usage unique, jusqu'aux clés d'accès multi-facteurs et résistantes au hameçonnage d'aujourd'hui, tandis que l'identité fédérée (SAML, puis OAuth/OIDC) a permis l'authentification unique à l'échelle du web.

Key figures

Ravi Sandhu
Ross Anderson
Jerome Saltzer
Butler Lampson
Roger Needham

Seminal works

anderson2020
sandhu1996
saltzer1975

Frequently asked questions

Pourquoi l'authentification multi-facteurs est-elle si fortement recommandée ?: Les mots de passe seuls sont régulièrement volés par hameçonnage, réutilisation et violations de bases de données. Exiger un second facteur indépendant (un appareil ou une donnée biométrique) signifie qu'un mot de passe volé ne suffit pas pour se connecter, bloquant ainsi la grande majorité des attaques de prise de contrôle de compte.
Quelle est la différence entre le RBAC et l'ABAC ?: Le contrôle d'accès basé sur les rôles accorde des permissions via des rôles attribués aux utilisateurs, ce qui est simple à administrer. Le contrôle d'accès basé sur les attributs prend des décisions à partir des attributs de l'utilisateur, de la ressource et du contexte (tels que l'heure ou le lieu), offrant des politiques plus granulaires et dynamiques au prix d'une complexité accrue.