Twitter explique comment il a généralisé les clefs de sécurité à ses 5 500 employés

À l'occasion du #CybersecurityAwarenessMonth, Twitter explique comment ses équipes ont « intensifié nos efforts pour accroître l'utilisation des clés de sécurité afin d'empêcher les attaques de phishing », et même « réussi à migrer 100 % des comptes des employés des anciennes méthodes 2FA à l'utilisation obligatoire des clés de sécurité en moins de trois mois ». Et ce, en mode télétravail, du fait du Covid-19, auprès de ses 5 500 salariés répartis dans le monde. 

L'entreprise rappelle que ces clés de sécurité « utilisent les normes de sécurité FIDO et WebAuthn pour fournir une authentification à deux facteurs résistante au phishing (2FA) ». Et qu'elles peuvent en outre « différencier les sites légitimes des sites malveillants et bloquer les tentatives de phishing que SMS 2FA ou les codes de vérification à mot de passe à usage unique (OTP) ne feraient pas ». 

De plus, et « heureusement, un nombre croissant d'appareils incluent des "clés de sécurité" intégrées qui exploitent le protocole WebAuthn pour offrir les mêmes avantages de résistance au phishing ». Ces authentificateurs de plate-forme incluent FaceID/TouchID d'Apple, Windows Hello et la clé de sécurité intégrée d'Android.

« En autorisant, mais sans exiger », les appareils WebAuthn pour 2FA, les employés ont pu inscrire leurs clés de sécurité au fur et à mesure qu'ils les recevaient « sans perdre l'accès aux systèmes avant la date de basculement, qui a été partagée avec l'ensemble de l'entreprise un mois à l'avance ». Twitter a atteint « environ 90 % d'inscriptions de clés de sécurité à la date limite et avons pu atteindre 100 % dans le mois qui a suivi la coupure, alors que les gens revenaient de vacances ou de congés ».

Pour encourager une utilisation encore plus large, Twitter avait « clairement indiqué que les employés seraient autorisés à conserver leurs clés de sécurité même après avoir quitté l'entreprise ». Ce qui a permis d'encourager les employés à utiliser leurs clés de sécurité pour protéger leurs comptes personnels lorsqu'ils sont pris en charge. 

Le service relève en outre que le remplacement d'une clé de sécurité est « un défi d'utilisation important, obligeant les utilisateurs à garder une trace de chaque service avec lequel ils ont enregistré une clé de sécurité et à visiter individuellement chaque service, à supprimer l'ancienne clé et à ajouter la nouvelle clé ». 

Ce pour quoi Twitter a remis à tous les employés deux clés de démarrage, une principale et une de sauvegarde (cela garantit une option de secours en cas de perte de la clé primaire) et également utilisé l'authentification unique pour minimiser le nombre de systèmes sur lesquels un utilisateur doit enregistrer ses clés. 

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !