Lorsque j’ai mentionné à quelques amis que j’écrivais une fonctionnalité sur l’authentification en deux étapes, la réponse typique était un regard roulant et “Oh, cette chose ennuyeuse ?…” Oui, cette étape supplémentaire ennuyeuse. Nous avons tous eu cette pensée lorsque nous avions besoin d’obtenir un code avant de pouvoir nous connecter ou vérifier notre identité en ligne. Puis-je simplement me connecter sans un déluge de demandes ?
Cependant, après de nombreuses recherches sur l’authentification à deux facteurs (souvent appelée 2FA), je pense que je ne roulerai plus les yeux dessus. Apprenons un peu mieux à connaître l’authentification à deux facteurs, les différentes options disponibles, et dissipons certains mythes entourant cette étape supplémentaire “ennuyeuse”.
Alternatives les plus courantes pour utiliser 2FA
Vérification SMS
Il est courant que les applications et les services sécurisés vous suggèrent d’ajouter 2FA au moins via des messages SMS, par exemple lors de la connexion à votre compte, soit à tout moment, soit uniquement lorsque vous le faites à partir d’un nouvel appareil. En utilisant ce système, votre téléphone portable est la deuxième méthode d’authentification.
Le message SMS consiste en un code court à usage unique que vous entrez dans le service. De cette façon, M. Joe Hacker aurait besoin d’accéder à votre mot de passe et à votre téléphone pour accéder à votre compte. Une préoccupation assez évidente est la couverture cellulaire. Que se passe-t-il si vous êtes coincé au milieu de nulle part sans signal, ou si vous voyagez à l’étranger sans accès à votre transporteur public ? Vous ne pourrez pas recevoir le message avec le code et ne pourrez pas vous connecter.
Mais la plupart du temps, cette méthode est pratique (nous avons tous notre téléphone à portée de main la plupart du temps). Et il y a même certains services qui ont un système automatisé qui prononce le code afin qu’il puisse être utilisé avec un téléphone fixe si vous ne pouvez pas recevoir de SMS.
Google Authenticator, Authy, codes générés par l’application
Une alternative potentiellement meilleure aux SMS, car elle ne dépend pas de votre opérateur de téléphonie mobile. Google Authenticator est l’application la plus populaire de sa catégorie, mais si vous ne souhaitez pas compter sur Google pour ce type de service, il existe des alternatives complètes comme Authy, qui propose des sauvegardes cryptées des codes générés au fil du temps, ainsi que plusieurs plate-forme et support hors ligne. Microsoft et Lastpass ont également leurs propres authentificateurs.
Ces applications continueront à générer des codes spécifiques à l’heure jusqu’à l’arrivée du royaume, avec ou sans connexion Internet. Le seul compromis est que la configuration de l’application est légèrement compliquée.
Après avoir configuré un service donné avec Authenticator, vous serez invité à entrer un code d’authentification en plus de votre nom d’utilisateur et de votre mot de passe. Vous comptez sur l’application Google Authenticator sur votre smartphone pour vous fournir un nouveau code. Les codes expirent dans la minute, donc parfois vous devrez travailler rapidement pour entrer le code actuel avant qu’il n’expire, puis le nouveau code est celui à utiliser.
Clés d’authentification physique
Si traiter avec des codes, des applications et des messages texte semble être un casse-tête, il existe une autre option qui est sur le point de devenir populaire : les clés d’authentification physiques. Il s’agit d’un petit périphérique USB que vous placez sur votre porte-clés, comme la clé de sécurité illustrée ci-dessous. Lors de la connexion à votre compte sur un nouvel ordinateur, insérez la clé USB et appuyez sur son bouton. Fait et fait.
Il existe une norme autour de cela appelée U2F. Les comptes Google, Dropbox, GitHub et bien d’autres sont compatibles avec le jeton U2F. Les clés d’authentification physiques peuvent également fonctionner avec NFC et Bluetooth pour communiquer avec des appareils qui n’ont pas de ports USB.
Authentification basée sur les applications et basée sur les e-mails
De nombreuses applications et services ignorent complètement les options ci-dessus et vérifient via leurs applications mobiles. Par exemple, activez “Vérification de connexion” sur Twitter et lorsque vous vous connectez à Twitter pour la première fois à partir d’un nouvel appareil, vous devez vérifier cette connexion à partir de l’application connectée sur votre téléphone. Twitter veut s’assurer que vous, et non M. Joe Hacker, avez votre téléphone avant de vous connecter.
De même, les comptes Google offrent quelque chose de similaire lors de la connexion à un nouveau PC, il vous demande d’ouvrir Gmail sur votre téléphone. Apple utilise également iOS pour vérifier les connexions des nouveaux appareils. Lorsque vous vous connectez sur un nouvel appareil, vous recevrez un code à usage unique envoyé à un appareil Apple que vous utilisez déjà.
Les systèmes basés sur le courrier électronique, comme vous l’avez probablement compris à partir de la description, utilisent votre compte de messagerie comme authentification de second facteur. Lorsque vous vous connectez à une application ou à un service qui utilise cette option, le code à usage unique sera envoyé à votre adresse e-mail enregistrée pour une vérification supplémentaire.
Mythes / FAQ
Quels sont les services courants pour lesquels l’activation de 2FA est recommandée ?
- Google/Gmail, Hotmail/Outlook, Yahoo Mail **
- Lastpass, 1Password, Keepass ou tout autre gestionnaire de mots de passe que vous utilisez **
- Dropbox, iCloud, OneDrive, Google Drive (et autres services cloud où vous hébergez des données précieuses)
- Services bancaires, PayPal et autres services financiers que vous utilisez et qui le prennent en charge
- Facebook / Twitter / LinkedIn
- Steam (au cas où votre bibliothèque de jeux vaudrait plus que le solde moyen de votre compte bancaire)
** Celles-ci sont particulièrement importantes car elles servent généralement de passerelle vers tout ce que vous faites en ligne.
S’il y a une faille de sécurité, activer l’authentification à deux facteurs dès que possible ?
Le problème est que vous ne pouvez pas simplement actionner un interrupteur et activer 2FA. Le démarrage de 2FA signifie que des jetons doivent être émis ou que des clés cryptographiques doivent être intégrées dans d’autres appareils. En cas de violation de service, nous vous recommandons de changer d’abord vos mots de passe, puis d’activer 2FA. Les meilleures pratiques s’appliquent toujours, comme utiliser des mots de passe difficiles à deviner et ne pas réutiliser votre mot de passe dans différents services/sites Web.
Dois-je activer l’authentification à deux facteurs ou non ?
Oui. Surtout pour les services critiques qui contiennent vos données personnelles et vos informations financières.
L’authentification à deux facteurs est insensible aux menaces
Non. 2FA dépend à la fois des technologies et des utilisateurs qui sont défectueux, il est donc également défectueux. Un 2FA qui utilise le texte SMS comme deuxième facteur repose sur la sécurité de l’opérateur de téléphonie mobile. C’est également arrivé lorsqu’un logiciel malveillant sur un téléphone intercepte et envoie des messages SMS à l’attaquant. Une autre façon dont 2FA peut mal tourner est lorsqu’un utilisateur ne fait pas attention et approuve une demande d’authentification (il s’agit peut-être d’un message contextuel sur son Mac) qui a été lancée par la tentative de connexion d’un attaquant.
Comment 2FA peut échouer en cas de tentative de phishing réussie ?
L’authentification à deux facteurs peut échouer lors d’une attaque de phishing si l’attaquant trompe l’utilisateur pour qu’il entre son code 2FA sur une fausse page. L’attaquant a alors accès aux identifiants de connexion de l’utilisateur et au code 2FA, contournant la sécurité de 2FA. Pour éviter cela, il est important que les utilisateurs soient conscients des tentatives de phishing et vérifient l’authenticité des pages de connexion et 2FA avant de saisir des informations.
Les solutions à deux facteurs sont (fondamentalement) toutes les mêmes
Cela a peut-être été vrai à un moment donné, mais il y a eu beaucoup d’innovations dans 2FA. Il existe des solutions 2FA utilisant des SMS ou des e-mails. D’autres solutions utilisent une application mobile qui contient un secret cryptographique ou des informations de clé stockées dans le navigateur d’un utilisateur. La dépendance à l’égard de services tiers est une chose à laquelle il faut réfléchir et devrait être améliorée, car elle a été violée et l’authentification a échoué dans certains cas.
L’authentification à deux facteurs est un supplément ennuyeux avec peu d’avantages
Eh bien, avec ce genre d’attitude, nous n’irons jamais nulle part. En réalité, certaines entreprises ou services considèrent 2FA comme une exigence de conformité, au lieu de quelque chose qui peut aider à réduire la fraude. Certaines entreprises utilisent le minimum requis 2FA qui ne fait presque rien, juste pour cocher la case 2FA. En tant qu’utilisateur, il peut être ennuyeux d’utiliser 2FA, mais si l’entreprise utilise une méthode d’authentification flexible (pas seulement le strict minimum), cela peut réduire les risques de fraude. Et qui ne veut pas ça ?