Encyclopédie biométrique

Authentification hors bande

L'authentification hors bande renforce la sécurité en utilisant un canal de communication distinct, ou "bande", pour l'authentification par rapport au canal principal ou au dispositif utilisé. Elle s'oppose à l'"authentification en bande" : les informations d'identification sont envoyées par le même canal en bande, mais un canal "hors bande" indépendant est utilisé pour une étape d'authentification supplémentaire.

En termes plus simples, hors bande signifie que l'authentification est indépendante de l'appareil - ainsi, même si un appareil est compromis, l'authentification ne l'est pas.

La solution biométrique faciale d'iProov s'appuie sur une véritable authentification hors bande. Le processus d'authentification se déroule dans le nuage plutôt que sur l'appareil de l'utilisateur lui-même. Cela permet de séparer le plan d'authentification du plan de l'appareil.

Les avantages de cette architecture sont les suivants

  • Sécurisation contre les dispositifs compromis : Si un pirate obtient un accès complet à l'appareil d'un utilisateur, le processus d'authentification hors bande reste sécurisé car l'authentification est traitée indépendamment de l'appareil ; elle est isolée de l'appareil compromis.
  • Éviter les vulnérabilités en bande : L'authentification en bande offre moins de sécurité qu'il n'y paraît. Par exemple, si une organisation envoie des mots de passe à usage unique (OTP) à ce compromis pour authentifier une personne, le code OTP n'apporte en fait aucune sécurité supplémentaire. Le mauvais acteur peut copier les OTP générés par courriel, authentificateur ou SMS sur cet appareil parce qu'ils sont envoyés à l'appareil auquel le fraudeur a déjà accès. L'accès à l'appareil permet d'accéder à l'OTP. Il s'agit d'une vulnérabilité critique.
  • Commodité pour l'utilisateur final : L'authentification biométrique basée sur le cloud vous permet de fournir une véritable authentification hors bande sans nécessiter l'utilisation de plusieurs appareils. Imaginez qu'une personne saisisse son mot de passe sur son ordinateur mais qu'elle n'ait pas son téléphone avec elle (ou qu'elle le perde complètement) - elle est complètement exclue du processus d'authentification à ce moment-là, ce qui diminuera les taux de réussite.

Des vulnérabilités cruciales subsistent si tous les facteurs d'authentification sont toujours centralisés sur le même appareil. Par exemple, si un utilisateur achète quelque chose via une application mobile et que le fournisseur de l'application envoie un code SMS à cet appareil mobile pour vérifier l'achat, le code SMS n'apporte en fait aucune sécurité supplémentaire - le code est envoyé au même appareil et est donc "dans la bande". Si l'appareil a été compromis, l'OTP n'a aucune valeur.

iProov part du principe que l'appareil n'est pas fiable et procède à l'authentification de manière sécurisée et privée dans le nuage, de sorte qu'il est indépendant de l'appareil utilisé. Même si un acteur malveillant disposait d'un accès complet à l'appareil d'une autre personne, le processus d'authentification resterait sécurisé.

Les organisations devraient adopter une approche globale et multicouche de la sécurité. Le scénario idéal consiste à décentraliser les signaux d'identité à travers plusieurs sources de confiance - en combinant l'authentification hors bande avec des signaux biométriques et d'autres signaux collectés indépendamment à partir de différents canaux sous la surveillance d'un centre d'opérations de sécurité.