IA-02(06) - Accès aux comptes – Dispositif distinct (PaF-)
Énoncés :
Mettre en oeuvre l’AMF pour l’accès [Sélection (un choix ou plus) : local; réseau; à distance] aux [Sélection (un choix ou plus) : comptes privilégiés; comptes non privilégiés] de façon à ce que :
a. l’un des facteurs soit fourni par un dispositif distinct du système qui obtient un accès
b. le dispositif satisfasse [Affectation : exigences de la force du mécanisme définies par l’organisation]
local et réseau (recommandé), à distance (obligatoire); comptes privilégiés et non privilégiés
b. mécanismes résistants aux rejoués ("replay") et à l'hameçonnage ("phishing")
Il est possible de réduire la probabilité de compromission des justificatifs d’authentification stockés sur le système auquel l’utilisatrice ou utilisateur accède en exigeant l’utilisation, pour un des facteurs lors d’une authentification multifactorielle, d’un dispositif distinct du système. Les adversaires peuvent avoir des exploits axés sur les dispositifs d’extrémité qui leur permettent de compromettre de tels secrets et par la suite d’usurper l’identité d’utilisatrices et utilisateurs autorisés. Appliquer l’un de ces facteurs sur un dispositif distinct (par exemple, un jeton d’authentification matériel), ajoute des éléments matériels qui renforcent le mécanisme et un niveau d’assurance accru au processus d’authentification en demandant aux exploits hétérogènes de compromettre simultanément les secrets traités par le dispositif d’extrémité et par le dispositif distinct. À l’occasion, l’utilisation d’un dispositif distinct peut impliquer la collecte de renseignements personnels comme la biométrie. Afin de considérer le concept de la nécessité du point de vue de la protection de la vie privée par rapport à sa proportionnalité, les organisations doivent collecter juste assez de renseignements personnels pour garantir une authentification précise.