Chez RSA, notre mission a toujours été d'éliminer les maillons faibles de la sécurité numérique. Aujourd'hui, nous sommes ravis d'annoncer une étape importante dans ce parcours : la présentation en avant-première de notre solution mobile FIDO, disponible dans les pays suivants RSA Authenticator app V4.4 pour iOS et Android. RSA ID Plus est un serveur certifié FIDO2, et avec cette étape, notre application d'authentification pour iOS et Android est maintenant un authentificateur certifié FIDO2.
Nous nous engageons ainsi à proposer des expériences utilisateur sécurisées, intuitives et transparentes, et à éradiquer les mots de passe une fois pour toutes.
Les mots de passe constituent depuis longtemps une vulnérabilité critique en matière de cybersécurité, car ils dépendent de la mémoire humaine et de la discrétion, ce qui conduit souvent à des mots de passe faibles et réutilisés. Depuis longtemps, nous soutenons solutions sans mot de passe comme le code QR, la biométrie, le code de passe à usage unique ou les authentificateurs matériels certifiés FIDO2 tels que le RSA DS100 pour remédier à ces vulnérabilités.
Cette dernière étape apporte la sécurité sans mot de passe aux entreprises en ajoutant la prise en charge de la clé de sécurité liée à l'appareil (FIDO mobile) à notre application RSA Authenticator, offrant une alternative sécurisée et conviviale qui élimine la vulnérabilité préférée des cybercriminels, renforce la sécurité organisationnelle et permet aux utilisateurs de rester connectés et productifs.
Passkeys ont fait l'objet d'une grande attention, à la fois en raison des engagements pris par Facebook, Apple et Amazon en faveur d'une solution plus orientée vers le consommateur et parce que l'initiative des Alliance FIDO a adopté le terme "passkey" pour tout type de certificat FIDO. Cela a entraîné une certaine confusion quant à la signification exacte du terme "passkey" utilisé par une organisation, que nous avons tenté de clarifier. clarifier.
La distinction la plus importante que nous ayons trouvée est la différence entre les passkeys liés à l'appareil et les passkeys synchronisés :
- Clés liées à un appareil : Ce type de clé est créé en toute sécurité et stocké sur un seul appareil. La clé privée ne quitte jamais l'appareil, ce qui garantit un niveau de sécurité élevé. Les clés liées à un appareil minimisent le risque d'exposition de la clé et offrent une protection solide contre les risques suivants hameçonnage et d'autres cybermenaces. Cela signifie que la clé ne peut pas être utilisée sur un autre appareil sans l'enregistrer à nouveau manuellement, ce qui en fait l'option idéale pour les entreprises et les organisations du secteur public. Ces solutions sont résistantes à l'hameçonnage et offrent un niveau de sécurité plus élevé.
- Clés d'accès synchronisées : Les codes d'accès synchronisés sont stockés et synchronisés sur plusieurs appareils via des services en nuage, ce qui permet d'accéder à des services sur différents appareils sans avoir à enregistrer chacun d'eux individuellement. Ils permettent également de les récupérer en cas de perte, de vol ou de remplacement de l'appareil hôte, ce qui est d'autant plus utile que les utilisateurs changent souvent de téléphone portable tous les deux ans. Bien que cette solution soit plus pratique pour l'utilisateur, elle nécessite des mesures de sécurité solides pour protéger les clés synchronisées dans le nuage. Les passkeys synchronisés peuvent convenir à une utilisation grand public, mais ils n'offrent pas le même niveau de sécurité que celui requis pour les environnements fédéraux et d'entreprise.
En mettant en œuvre une solution de clé de sécurité liée à l'appareil dans l'application RSA Authenticator pour iOS et Android, nous contribuons à renforcer la sécurité de nos clients. Confiance zéro garantissant une intégration profonde et une voie directe vers une authentification sans mot de passe résistante à l'hameçonnage. Cette technologie élimine les faiblesses des mots de passe traditionnels et offre une expérience utilisateur transparente et intuitive.
Philip Corriveau, notre responsable UX, souligne pourquoi ce développement est important : "Chez RSA, nous pensons que la sécurité ne doit pas être un obstacle, mais une partie intégrante de l'expérience utilisateur. Avec la prise en charge des passkeys liés à l'appareil dans l'application RSA Authenticator pour iOS et Android, nous ne nous contentons pas de renforcer la sécurité, nous transformons la façon dont les utilisateurs interagissent avec leurs identités numériques."
Les passkeys liés à l'appareil offrent plusieurs niveaux de sécurité qui neutralisent les attaques les plus courantes :
- L'hameçonnage : Comme la clé privée ne quitte jamais l'appareil, les attaquants ne peuvent pas l'intercepter ou la voler par le biais de tentatives d'hameçonnage. Il est techniquement impossible de voler la clé privée directement à partir de l'appareil d'un utilisateur. Bien que des acteurs malveillants puissent tenter de pirater l'accès au nuage pour télécharger une copie de la clé, la clé privée elle-même reste sécurisée sur l'appareil, ce qui empêche la plupart des attaques d'aboutir.
- Ingénierie sociale : Avec les passkeys liés à un appareil, la clé privée n'est ni partageable ni extractible. Les utilisateurs n'ont pas besoin d'accéder à la clé privée, de s'en souvenir ou de la manipuler, ce qui réduit considérablement le risque d'attaques par ingénierie sociale. Les attaquants ne peuvent pas inciter les utilisateurs à révéler quelque chose à laquelle ils n'ont pas accès.
- Adversaire au milieu : Même si un attaquant intercepte la communication entre un service et l'authentificateur, il ne peut pas utiliser la clé publique seule pour obtenir l'accès.
Si presque toutes les organisations de tous les secteurs peuvent bénéficier de Mobile FIDO, la solution peut être particulièrement précieuse pour les agences gouvernementales qui s'efforcent de répondre au mandat présidentiel en matière de cybersécurité et de se conformer à la loi sur la protection de l'environnement. Décret 14028 avant la fin de l'année fiscale.
L'ordonnance EO14028 exige que les agences gouvernementales utilisent des solutions sans mot de passe et résistantes à l'hameçonnage pour authentifier leurs utilisateurs. Il s'agit d'un élément essentiel de la modernisation et de la défense des infrastructures critiques, mais les organismes publics doivent agir rapidement et mettre en œuvre une solution éprouvée.
"La clé de sécurité de RSA, certifiée FIDO2 et liée à un dispositif, est un atout important pour les agences fédérales qui s'efforcent de respecter le mandat présidentiel et la date limite de l'exercice 2024", a déclaré Kevin Orr, président de RSA Federal. "RSA ne se contente pas de cocher une case, mais apporte des décennies d'expérience en matière de sécurité et une solution unifiée, évolutive et conviviale qui peut améliorer la collaboration dans le secteur public."
Notre solution FIDO mobile est une étape cruciale pour offrir une expérience sans mot de passe cohérente et transparente du début à la fin. L'application RSA Authenticator V4.4 pour iOS et Android prend en charge FIDO mobile en tant qu'aperçu technique. La fonctionnalité FIDO mobile sera généralement disponible avec l'application RSA Authenticator V4.5 pour iOS et Android. Cette version comprendra des améliorations supplémentaires et une expérience utilisateur simplifiée.
La solution mobile FIDO de RSA convient parfaitement aux environnements Zero Trust, où l'accès sécurisé et sans mot de passe est crucial. Les clés d'accès liées à l'appareil s'alignent sur les principes de la confiance zéro en vérifiant chaque tentative d'accès sans s'appuyer sur les mots de passe, qui sont vulnérables au phishing et au vol d'informations d'identification. Avec les clés d'accès liées à l'appareil, la clé privée reste en toute sécurité sur l'appareil d'origine, ce qui garantit que l'accès est limité aux seuls appareils vérifiés, ce qui est idéal pour protéger les effectifs à distance et hybrides.
En plus d'une meilleure sécurité, la solution RSA mobile FIDO améliore la flexibilité en permettant un accès facile à travers les environnements de travail, réduisant les interruptions tout en gardant les données sensibles sécurisées. Alors que les mandats gouvernementaux exigent une authentification résistante à l'hameçonnage, la solution RSA mobile FIDO aide les organisations non seulement à sécuriser les besoins d'aujourd'hui, mais aussi à se préparer aux normes de demain.
Chez RSA, nous sommes à la pointe de la technologie sans mot de passe. Notre engagement incessant en faveur de l'innovation nous pousse à créer des solutions qui redéfinissent la sécurité numérique. Nous ouvrons la voie à un monde plus sûr et plus convivial en passant à un environnement sans mot de passe.
Nous sommes ravis de poursuivre ce voyage avec vous et nous sommes impatients de rendre notre solution mobile FIDO généralement disponible dans le cadre de la V4.5. Ensemble, nous pouvons établir de nouvelles normes pour l'industrie et mener la charge vers un avenir où la sécurité est à la fois sûre et intuitive.
Restez à l'écoute pour plus de mises à jour et d'informations, car nous continuons à mener la charge vers un avenir sans mot de passe.
###
RSA a lancé l'application Authenticator 4.5 en décembre 2024. En savoir plus sur l'innovation apportant authentification certifiée FIDO2, sans mot de passe et résistante à l'hameçonnage directement sur les appareils mobiles des utilisateurs. Ou, si vous êtes administrateur, apprendre à activer la fonctionnalité dans RSA ID Plus.
