L'authentification à deux facteurs réduit le risque d'accès non autorisé de deux manières. Premièrement, cela oblige les pirates à pirater deux facteurs au lieu d'un seul. Deuxièmement, au moins un des facteurs requis par la 2FA est plus complexe à pirater qu'un mot de passe.

En fin de compte, la force de tout schéma de 2FA dépend des types de facteurs d'authentification qu'un utilisateur doit fournir.

Facteurs de connaissance : quelque chose que l'utilisateur connaît

Dans la grande majorité des implémentations de 2FA, un facteur de connaissance sert de premier facteur d'authentification. Un facteur de connaissance est un élément d'information que seul l'utilisateur connaîtrait en théorie. Le mot de passe est le facteur de connaissance le plus courant ; les numéros d'identification personnels (NIP) et les réponses aux questions de sécurité en sont d'autres.

Malgré leur utilisation généralisée, les facteurs de connaissance en général - et les mots de passe en particulier - sont le type de facteur d'authentification le plus vulnérable. Les pirates peuvent obtenir des mots de passe et d'autres facteurs de connaissance par le biais d'attaques par hameçonnage, en installant des enregistreurs de frappe ou des logiciels espions sur les appareils des utilisateurs, ou en exécutant des scripts ou des robots qui génèrent et testent des mots de passe potentiels jusqu'à ce qu'ils fonctionnent.

D'autres facteurs de connaissance ne présentent pas beaucoup plus de difficultés. Les réponses à certaines questions de sécurité, par exemple : « Quel est le nom de jeune fille de votre mère ? » - peuvent être piratées facilement grâce à une recherche basique ou à des attaques d'ingénierie sociale, dans lesquelles les pirates incitent les utilisateurs à divulguer des informations personnelles. D'autres questions de sécurité - par exemple, « Où êtes-vous allé en lune de miel ? » - peuvent être relativement faciles à deviner. Il n'est pas étonnant que les informations d'identification compromises aient été le vecteur d'attaque initial le plus couramment exploité en 2021, représentant 20 % de toutes les violations de données.

Il convient de noter que la pratique encore courante consiste à exiger un mot de passe et une question de sécurité - deux facteurs de connaissance - n'est pas une 2FA ; il s'agit d'une vérification en deux étapes. Une 2FA nécessite deux types de facteurs d'authentification différents.

Facteurs de possession : quelque chose que l'utilisateur possède

Les facteurs de possession sont des objets physiques que les utilisateurs transportent avec eux, et qui contiennent des informations requises pour les authentifier. Il existe deux types de facteurs de possession : les jetons logiciels et les jetons matériels.

Aujourd'hui, la plupart des jetons logiciels sont des mots de passe à usage unique (OTP) - des codes d'accès à 4 à 8 chiffres qui expirent dans le temps et envoyés sur le téléphone d'un utilisateur par SMS (ou par e-mail ou message vocal), ou générés par une application d'authentification installé sur le téléphone de ce dernier. Les applications d'authentification peuvent générer des jetons sans connexion Internet ni connexion à un réseau de téléphonie mobile. L'utilisateur associe l'application à des comptes en scannant les codes QR affichés par les fournisseurs de services ; l'application génère ensuite en continu des mots de passe à usage unique basés sur le temps, des OTP (One-Time Password) ou TOTP (Time-based One-Time Password) ou d'autres jetons logiciels pour chaque compte, généralement toutes les 30 à 60 secondes. Les applications d'authentification les plus couramment utilisées incluent Google Authenticator, Authy, Microsoft Authenticator, LastPass Authenticator et Duo, qui utilise des notifications push plutôt que des TOTP.

Les jetons matériels sont des dispositifs dédiés (porte-clés, cartes d'identité, dongles)  qui fonctionnent comme des clés de sécurité. Certains jetons matériels se branchent sur le port USB d'un ordinateur et transmettent les informations d'authentification à la page de connexion ; d'autres génèrent des codes de sécurité que l'utilisateur doit saisir manuellement lorsqu'il y est invité.

Les facteurs de possession offrent plusieurs avantages par rapport aux facteurs de connaissance. Pour usurper l'identité d'un utilisateur, au moment de la connexion, un pirate doit avoir l'appareil physique en main ou intercepter la transmission vers l'appareil pour acquérir l'OTP ou le TOTP avant son expiration.

Toutefois, les facteurs de possession ne sont pas inviolables. Les jetons physiques et les smartphones peuvent être volés ou égarés. Bien que les OTP et les TOTP soient plus difficiles à voler que les mots de passe traditionnels, ils sont toujours sensibles aux attaques sophistiquées par hameçonnage ou de l'homme du milieu. De plus, les OTP sont vulnérables au clonage SIM - ils créent une copie fonctionnelle de la carte SIM du smartphone de la victime.

Facteurs inhérents : quelque chose d'unique pour l'utilisateur en tant qu'individu

Les facteurs inhérents, également appelés facteurs biométriques, sont des caractéristiques physiques ou des traits uniques à l'utilisateur - une empreinte digitale, une voix, des traits du visage ou des motifs d'iris et de rétine. Aujourd'hui, de nombreux appareils mobiles peuvent être déverrouillés à l'aide des empreintes digitales ou de la reconnaissance faciale ; certains ordinateurs peuvent utiliser les empreintes digitales pour entrer des mots de passe afin d'accéder à des sites Web ou à des applications.

Les facteurs inhérents sont les facteurs les plus difficiles à déchiffrer : ils ne peuvent pas être oubliés, perdus ou égarés, et ils sont extraordinairement complexes à reproduire. Cependant, ils ne sont pas infaillibles pour autant. Si des facteurs inhérents sont stockés dans une base de données, ils peuvent être volés. En 2019, par exemple, une base de données biométrique contenant les empreintes digitales d'un million d'utilisateurs a été piratée. En théorie, les pirates pourraient voler ces empreintes digitales ou lier leurs propres empreintes digitales au profil d'un autre utilisateur dans la base de données.

Lorsque les données biométriques sont compromises, elles ne peuvent pas être modifiées rapidement ou facilement, ce qui peut empêcher les victimes d'arrêter les attaques en cours.

Facteurs comportementaux : ce que fait l'utilisateur

Les facteurs comportementaux sont des artefacts numériques qui vérifient l'identité d'un utilisateur en fonction de modèles de comportement. Les exemples incluent une plage d'adresses IP ou les données de localisation indiquant la zone à partir de laquelle un utilisateur se connecte généralement à une application.

Les solutions d'authentification comportementale utilisent l'intelligence artificielle pour déterminer une ligne de base pour les modèles de comportement normaux des utilisateurs, puis elles signalent les activités anormales, telles que la connexion à partir d'un nouvel appareil, numéro de téléphone, navigateur Web ou emplacement. Certaines implémentations de 2FA tirent parti des facteurs comportementaux en permettant aux utilisateurs d'enregistrer des appareils de confiance en tant que facteurs d'authentification. Bien que l'utilisateur puisse avoir besoin de fournir manuellement deux facteurs lors de la première connexion, l'appareil de confiance agira automatiquement comme deuxième facteur par la suite.

Les facteurs comportementaux sont couramment utilisés dans l'authentification adaptative, également appelée « authentification basée sur les risques ». Dans ce système, les exigences d'authentification changent lorsque le risque change, par exemple lorsqu'un utilisateur tente de se connecter à partir d'un appareil non approuvé, tente d'accéder à une application pour la première fois ou tente d'accéder à des données particulièrement sensibles. Les schémas d'authentification adaptative permettent généralement aux administrateurs système de définir des stratégies d'authentification distinctes pour chaque type d'utilisateur ou de rôle. Les utilisateurs à faible risque peuvent n'avoir besoin que de deux facteurs pour se connecter, tandis que les utilisateurs à haut risque - ou les applications très sensibles - peuvent nécessiter trois facteurs voire plus.

Bien que les facteurs comportementaux offrent un moyen sophistiqué d'authentifier les utilisateurs, leur déploiement nécessite des ressources importantes et une certaine expertise. De plus, si un pirate accède à un appareil de confiance, il peut l'utiliser comme facteur d'authentification.

Étant donné que les facteurs de connaissance compromis sont le vecteur initial le plus courant des failles de cybersécurité, de nombreuses entreprises explorent l'authentification  sans mot de passe : une authentification qui repose sur des facteurs de possession, inhérents et comportementaux pour vérifier les identités. L'authentification sans mot de passe réduit la vulnérabilité aux attaques ciblant les mots de passe, telles que les attaques par hameçonnage et le « credential stuffing » aussi connu sous le nom de bourrage d'identifiants, dans lesquelles les pirates utilisent les informations d'identification volées sur un système pour accéder à un autre.

Alors que la plupart des méthodes 2FA actuelles utilisent des mots de passe, les experts du secteur prévoient un avenir de plus en plus sans mot de passe à mesure que de plus en plus d'entreprises s'éloignent de ce qui est largement considéré comme le maillon le plus faible de la chaîne de vérification d'identité. Cela est susceptible de conduire à l'adoption de systèmes 2FA sans mot de passe, dans lesquels les utilisateurs doivent fournir deux types différents d'informations d'identification d'authentification sans facteur de connaissance. Par exemple, demander à un utilisateur une empreinte digitale et un jeton physique constituerait une 2FA sans mot de passe.

En réponse à la vague croissante de cyberattaques, de nombreuses réglementations gouvernementales et industrielles exigent désormais une MFA pour les systèmes qui traitent des données sensibles. Par exemple :

• En 2020, l'IRS (Internal Revenue Service) a imposé la MFA pour les fournisseurs de systèmes de préparation des déclarations de revenus en ligne.
• Le décret exécutif de 2021 du président Biden sur l'amélioration de la cybersécurité du pays a exigé la MFA pour toutes les agences fédérales. Un mémorandum de suivi exige que tous les systèmes de la sécurité nationale, du ministère de la Défense et de la communauté du renseignement mettent en œuvre la MFA d'ici le 18 août 2022.
• La norme de sécurité des données de l'industrie des cartes de paiement (PCI-DSS) exige explicitement la MFA pour les systèmes qui gèrent les données des cartes de crédit et de paiement.

Les méthodes d'authentification à deux facteurs répondent au niveau minimal de conformité avec ces réglementations et d'autres. De nombreuses autres réglementations, y compris la loi Sarbanes-Oxley (SOX) et l'HIPAA, recommandent fortement d'utiliser au moins la 2FA afin d'assurer la conformité.

L'authentification unique (SSO) est une méthode d'authentification permettant aux utilisateurs d'accéder à plusieurs applications et services connexes via un ensemble d'identifiants. Dès lors qu'un utilisateur se connecte une première fois, et une solution SSO authentifie son identité et génère un jeton d'authentification de session. Ce jeton fait office de clé de sécurité de l'utilisateur pour diverses applications et bases de données interconnectées.

Pour atténuer le risque de s'appuyer sur un seul ensemble d'informations d'identification pour plusieurs applications, les entreprises activent souvent la 2FA pour les connexions SSO. Cela fournit une couche de sécurité supplémentaire en exigeant deux facteurs d'authentification différents avant qu'un utilisateur puisse accéder à la session SSO.

Les entreprises peuvent mettre en œuvre une authentification adaptative pour l'authentification unique, combinant la 2FA pour la connexion initiale et l'accès à des applications et contenus moins sensibles, et nécessitant des facteurs d'authentification supplémentaires lorsque l'utilisateur tente d'accéder à des données plus sensibles ou présente un comportement anormal (comme une tentative de connexion via un VPN non reconnu). Ceci est particulièrement courant dans les architectures de cybersécurité Zero Trust, où l'identité d'un utilisateur n'est jamais fiable et toujours vérifiée lorsque l'utilisateur se déplace sur le réseau.