Les mots de passe sont brisés. WebAuthn est la nouvelle norme d'authentification

Publié: 2022-09-22

Récemment, iThemes Security Pro a ajouté des clés de passe comme méthode d'authentification principale pour les sites WordPress. Cette version révolutionnaire est la première du genre dans l'espace WordPress, et c'est quelque chose que vous devez savoir. Une fois de plus, iThemes Security a fait preuve de leadership en fournissant des fonctionnalités de sécurité exceptionnelles aux utilisateurs de WordPress.

Dans cet article, nous passerons en revue le problème du mot de passe, ce qu'est WebAuthn et pourquoi vous commencerez à utiliser cette technologie partout. Si vous êtes un propriétaire de site WordPress et que vous cherchez à améliorer les fonctionnalités de connexion et de sécurité pour vos utilisateurs finaux, vous disposez désormais de la norme de pointe pour les connexions sans friction.

Comprendre le problème de mot de passe que WebAuthn résout

Nos vies en ligne, y compris les comptes d'utilisateurs utilisés par WordPress, ont été basées sur l'accès par nom d'utilisateur et mot de passe. C'était bien pendant un moment. Mais ensuite, les mots de passe réutilisés, les attaques par force brute par dictionnaire et le partage de données de compte piratées par des acteurs malveillants ont rendu notre système de sécurité par mot de passe inefficace.

En fait, le rapport DBIR de Verizon pour 2022 indique que plus de 80 % des violations peuvent être attribuées à des informations d'identification volées, et il y a eu une augmentation de 30 % des informations d'identification volées en tant que principal vecteur d'intrusion par rapport à l'exploitation des vulnérabilités.

Les informations d'identification font référence à la combinaison nom d'utilisateur/mot de passe. Et les données de Verizon nous disent une chose : les mots de passe sont cassés. L'ajout de l'authentification à deux facteurs (2FA) a été utile, mais malheureusement, la friction et la complexité qu'elle ajoute ont fait qu'elle n'a été adoptée que par 28 % des utilisateurs. Nous avons compris; 2FA ajoute une autre couche de friction pour les attaquants, mais il rend également la connexion plus difficile pour les utilisateurs. Et dans le cas de 2FA basé sur SMS, ce n'est tout simplement pas assez sécurisé. Les histoires d'attaques de ports SIM pour des cibles de grande valeur ne sont pas courantes, mais elles sont catastrophiques lorsqu'elles se produisent.

L'Alliance FIDO (Fast Identity Online) s'est efforcée de résoudre ces problèmes, et WebAuthn est la spécification issue de ce travail.

À ce stade de notre vie numérique, les mots de passe sont cassés. Heureusement, il existe une nouvelle et meilleure méthode d'authentification, et c'est WebAuthn.

Qu'est-ce que WebAuthn ?

WebAuthn est l'abréviation de l'API d'authentification Web. Il s'agit d'une spécification rédigée par le W3C et FIDO, avec la participation d'Apple, Google, Mozilla, Microsoft, Yubico et d'autres. L'API WebAuthn permet aux serveurs d'enregistrer et d'authentifier les utilisateurs à l'aide de la cryptographie à clé publique au lieu d'un mot de passe. Depuis janvier 2019, WebAuthn est pris en charge sur Chrome, Firefox, Microsoft Edge et Safari. Au moment d'écrire ces lignes, WebAuthn est pris en charge par plus de 90 % des appareils et leurs navigateurs.

WebAuthn fait partie du framework FIDO2, qui est un ensemble de technologies permettant une authentification sans mot de passe entre les serveurs, les navigateurs et les authentificateurs. WebAuthn a été standardisé par le World Wide Web Consortium.

Maintenant qu'un si grand nombre de nos appareils utilisent l'authentification biométrique, comme FaceID sur votre iPhone ou la reconnaissance d'empreintes digitales sur votre MacBook, Windows Hello et bien d'autres, nous avons une nouvelle méthode pour déterminer si une tentative de connexion est réellement l'utilisateur valide. et non une attaque par force brute.

Comment fonctionne WebAuthn ?

WebAuthn utilise la cryptographie à clé publique pour sécuriser les connexions entre les utilisateurs et les systèmes qu'ils utilisent. En utilisant WebAuthn, vous pouvez utiliser une méthode d'authentification unique, telle que la biométrie sur vos appareils ou une YubiKey, sur n'importe quel site prenant en charge la norme. De cette façon, en tant qu'utilisateur, vous n'avez pas besoin d'avoir des mots de passe pour chaque site que vous visitez, juste un authentificateur puissant qui fonctionne avec WebAuthn.

En utilisant cette authentification forte au lieu d'un mot de passe, nous pouvons créer une paire de clés privée-publique pour un site Web. La clé privée est stockée en toute sécurité sur votre appareil (par exemple, votre téléphone ou votre ordinateur), et la clé publique et les informations d'identification générées de manière aléatoire sont envoyées au serveur Web pour stockage. Le serveur Web et, dans le cas d'iThemes Security Passkeys, votre site WordPress, peuvent utiliser la clé publique pour vérifier l'identité de l'utilisateur.

Comment fonctionne WebAuthn

Cette clé publique n'est pas un secret. Ainsi, si le serveur Web ou le site WordPress est piraté, les informations d'identification stockées avec la clé publique sont inutiles pour un attaquant. La clé publique ne peut tout simplement pas être utilisée sans la clé privée.

Pour comprendre comment WebAuthn fonctionne réellement, le projet FIDO2 dispose d'excellentes ressources.

WebAuthn change le paysage de la sécurité

WebAuthn est vraiment révolutionnaire dans le monde de la sécurité. Les bases de données ne sont plus aussi attrayantes pour les pirates, car les clés publiques ne leur sont plus utiles. De plus, WebAuthn rend le vol d'informations d'identification plus difficile.

Et pour les utilisateurs finaux, WebAuthn élimine le besoin de mémoriser plusieurs noms d'utilisateur et mots de passe. Tout ce dont un utilisateur d'un MacBook, par exemple, a besoin, c'est de son empreinte digitale pour se connecter à son site activé avec les clés de sécurité iThemes.

Apple, qui a implémenté WebAuthn, note également que WebAuthn protège contre les attaques de phishing. Une attaque de phishing qui envoie des e-mails aux utilisateurs avec des liens vers de faux écrans de connexion ne serait pas efficace sans mots de passe. Un utilisateur utilisant des clés de passe pour se connecter au compte n'aurait même pas de mot de passe à fournir à un formulaire de phishing malveillant. L'authentification est entièrement gérée par la clé privée stockée sur leur appareil communiquant avec la clé publique stockée sur le serveur Web. WebAuthn rend efficacement les attaques de phishing aléatoires ainsi que les attaques de spearphishing ciblées complètement inefficaces.

Le jeu de la sécurité a changé avec WebAuthn. Bien qu'il faille un certain temps pour que les attaques par force brute et le vol de mot de passe deviennent moins attrayants pour les attaquants malveillants, les propriétaires de sites proactifs qui choisissent de mettre en œuvre WebAuthn seront les leaders pour s'assurer que leurs sites ne font plus partie du jeu.

Les connexions sans friction rendent les clients plus heureux

Ces propriétaires de sites fournissent également une fonctionnalité supplémentaire précieuse à leurs utilisateurs, clients, étudiants ou quiconque se connecte à leurs sites WordPress. Au lieu d'exiger des protocoles d'authentification multifacteurs remplis de friction pour garantir que le site WordPress reste sécurisé, WebAuthn mis en œuvre par iThemes Security permet aux propriétaires de sites de fournir une connexion sans mot de passe sans friction tout en rendant leur site beaucoup moins attrayant pour les pirates.

D'autres implémentations de WebAuthn sont à venir

Vous pourriez voir à quel point cette technologie change la vie et vous demander pourquoi davantage de sites, de services et d'applications n'utilisent pas WebAuthn. Bien que cette technologie soit révolutionnaire, elle est également très nouvelle. L'ajout de WebAuthn aux services hérités nécessitera une refactorisation. Mais comme nous l'avons vu avec de nombreuses nouvelles technologies qui changent le paysage, cela arrive. La nécessité d'aller au-delà des mots de passe est un facteur déterminant. Et, à mesure que de plus en plus d'utilisateurs bénéficieront de capacités de connexion sans friction, nous commencerons à voir les demandes des utilisateurs pour que les connexions sans mot de passe soient étendues.

De cette façon, iThemes Security s'est imposé comme le leader de la sécurité WordPress, changeant la façon dont les utilisateurs de WordPress se connectent. iThemes Security Passkeys est la première implémentation de WebAuthn dans l'espace WordPress, et ce sera certainement la norme à l'avenir.

Pour obtenir les clés de sécurité iThemes pour votre site WordPress maintenant, vous aurez besoin d'iThemes Security Pro. Heureusement, vous pouvez actuellement l'obtenir à un prix réduit. Cependant, vous ne verrez pas ces bas prix longtemps. La vente se termine le 30 septembre 2022.

Obtenez des clés de sécurité iThemes pour votre site