Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Cisco Duo, la fin du mot de passe ?
Bientôt une fonctionnalité d’authentification sans mot de passe en combinant notamment un terminal mobile et ses capacités biométriques native.
S’authentifier auprès de ses applications et services sans avoir à fournir de mot de passe. Mais sans affaiblir l’authentification pour autant. C’est Cisco Duo. La solution s’appuie sur des clés de sécurité ou les capacités biométriques d’un terminal. Concrètement, FaceID ou TouchID pour les terminaux mobiles Apple ou encore Windows Hello, entre autres. L’approche doit couvrir toutes les ressources accessibles en SSO via Duo. Qui s’appuie sur la norme WebAuthn.
Les mots de passe sont à la fois faciles à déchiffrer pour les pirates et difficiles à gérer pour leurs utilisateurs. Ces derniers doivent se souvenir de dizaines de mots de passe différents, aussi bien pour leur travail qu’en-dehors.
Dans la stratégie zéro trust
Cisco n’est pas le seul à s’être engagé dans la direction de l’abandon des mots de passe. Yubico, fournisseur de clés de sécurité FIDO2, promeut cette approche de longue date. LastPass s’est lancé sur la voie début 2020, de même qu’Idaptive -aujourd’hui dans le giron de CyberArk. Microsoft soutient également cette approche au sein d’Azure Active Directory… Chez Cisco, Duo résulte de l’acquisition de la société éponyme durant l’été 2018, spécialisée dans l’authentification forte dans le cloud. Cette opération lui a permis d’ajouter des services d’authentification multifacteurs à son portefeuille d’outils de sécurité.
Duo passwordless authentication fait partie de la plateforme zero-trust de Cisco. Cisco Secure assure la sécurité de tous les utilisateurs lorsqu’ils accèdent à n’importe lesquels de leurs appareils, de leurs applications ou des environnements informatiques. Duo est compatible avec des centaines d’applications et d’identity providers sans avoir besoin d’ajuster son infrastructure.
Duo SSO déjà bien utilisé…
En ajoutant passwordless authentication à Duo SSO, les entreprises peuvent consolider plusieurs mots de passe et authentifications en une seule connexion pour les applications cloud. Le service implique ainsi un risque réduit de mots de passe volés ou faibles, de phishing, de réutilisation ou de piratage des gestionnaires de mots de passe. A ce jour, près de 25 000 entreprises dans le monde utilisent le logiciel d’authentification Duo SSO.
«Dès le départ, nous voulions développer un système d’authentification sans mot de passe qui serait accessible pour tous les employés, quel que soit l’environnement dans lequel ils travaillent, commente Gee Rittenhouse, SVP et GM de Cisco’s Security Business Group. Le moyen le plus sûr d’accéder à ses données est aussi le plus simple.»
Une utilisation selon les normes internationales
Le système de Duo passwordless authentication, basé sur une cryptographie asymétrique, utilise la norme Web Authentication (WebAuthn). Il permet aux données biométriques d’être stockées en toute sécurité et validées par l’appareil utilisé. Cette démarche s’effectue localement via la consultation d’une base de données centralisée.
En tant que membre du groupe de travail du World Wide Web Consortium (W3C), Duo a contribué à l’homologation de WebAuthn comme norme Web officielle, ainsi qu’à son implémentation à diverses plateformes.