Un dirigeant de Microsoft exhorte les entreprises à abandonner la méthode d’authentification multifacteur (MFA) la plus populaire – des codes d’accès à usage unique envoyés aux appareils mobiles par texte ou par voix – pour différentes approches, y compris les authentificateurs d’applications, qui, selon lui, sont plus sécurisées.

«Il est temps de commencer à vous éloigner des mécanismes d’authentification multi-facteurs (MFA) SMS et vocaux», a affirmé Alex Weinert, directeur de la sécurité d’identité, dans un article du 10 novembre sur un blog Microsoft. « Ces mécanismes sont basés sur des réseaux téléphoniques commutés publiquement (PSTN), et je pense qu’ils sont les moins sûrs des méthodes MFA disponibles aujourd’hui. »

Weinert a fait valoir que d’autres méthodes MFA sont plus sécurisées, appelant Microsoft Authenticator, l’authentificateur basé sur l’application de son entreprise, et Windows Hello, le label générique de la technologie biométrique de Microsoft, y compris la reconnaissance faciale et la vérification des empreintes digitales. Ce n’est pas un hasard si Weinert a vanté les technologies que Microsoft a vigoureusement poussé dans sa campagne pour convaincre les entreprises de se passer de mot de passe.

Il y a plus d’un an, Weinert a expliqué comment, à son avis, les mots de passe à eux seuls ne constituent pas une défense contre le vol d’informations d’identification, mais qu’en activant l’authentification multifacteur, « votre compte est plus de 99,9% moins susceptible d’être compromis ». Ce conseil n’a pas changé, mais la position de Microsoft sur la MFA s’est maintenant rétrécie. « La MFA est essentielle – nous discutons lequel Méthode MFA à utiliser, pas qu’il s’agisse pour utiliser MFA », a-t-il écrit la semaine dernière.

Weinert a coché une liste de failles de sécurité dans la MFA basée sur les SMS et la voix, la technique qui envoie généralement un code à six chiffres à un numéro de téléphone prédéterminé et vérifié. Ces défauts, a déclaré Weinert, allaient d’un manque de cryptage – les textes sont envoyés en clair – à la vulnérabilité à l’ingénierie sociale.

L’authentification basée sur les applications, a soutenu Weinert, est un moyen beaucoup plus sûr d’atteindre les fins WFA. Il a ensuite vanté Microsoft Authenticator, disponible en versions pour Android de Google et iOS d’Apple.

Authenticator dispose d’une communication cryptée, …