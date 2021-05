Vous devez utiliser une authentification à deux facteurs sur chaque compte qui vous donne cette option. Il n’y a pas de meilleur moyen de sécuriser votre compte et peu importe qui vous êtes, vous devriez vouloir que tous vos comptes soient aussi sécurisés que possible. Le téléphone que vous utilisez n’a pas non plus d’importance – 2FA fonctionne avec un téléphone Android bon marché, le meilleur téléphone Android ou un iPhone. Vous avez déjà entendu tout cela.

Cependant, toutes les méthodes à deux facteurs ne sont pas créées égales. Comme toutes les autres mesures de sécurité destinées aux utilisateurs, vous devez échanger une certaine commodité contre une protection et les méthodes les plus sûres de 2FA sont également les moins pratiques. À l’inverse, les méthodes les plus pratiques sont également les moins sûres.

Nous allons examiner les différentes façons d’utiliser l’authentification à deux facteurs et discuter des avantages et des inconvénients de chacune.

A éviter à tout prix, même si c’est toujours mieux que rien

4. Authentification à deux facteurs par SMS

Recevoir un message texte avec un code à deux facteurs est le moyen le plus populaire de sécuriser un compte en ligne. Malheureusement, c’est aussi la pire façon.

Le 2FA basé sur les SMS est simple et pratique. Ce n’est pas non plus très sécurisé.

Vous donnez votre numéro de téléphone lorsque vous vous inscrivez pour un compte ou si vous revenez en arrière et activez 2FA plus tard, et une fois le numéro vérifié, il est utilisé pour vous envoyer un code chaque fois que vous devez vous authentifier. C’est super facile et super pratique, ce qui signifie que de nombreuses personnes l’utilisent et que de nombreuses entreprises l’offrent comme seul moyen de sécuriser un compte.

La facilité d’utilisation et la commodité sont de bonnes choses, mais rien d’autre à propos des SMS n’est bon. Le SMS n’a jamais été conçu pour être un moyen de communication sécurisé et comme il s’agit d’une norme de l’industrie, même une application comme Signal qui offre une messagerie cryptée et sécurisée envoie toujours des messages SMS sous forme de texte brut. Nathan Collier, analyste principal du renseignement sur les logiciels malveillants chez Malwarebytes, décrit les SMS comme suit:

Les messages texte SMS, qui sont envoyés et stockés sur des serveurs en texte brut, peuvent être interceptés pendant le transit. De plus, il est possible que des messages SMS soient envoyés au mauvais numéro. Et lorsque les messages atteignent le bon numéro, il n’y a aucune notification du destinataire indiquant si le message a été lu ou même reçu.

Un problème plus grave est que les opérateurs peuvent (et ont été) amenés à autoriser une nouvelle carte SIM en utilisant le numéro de téléphone de quelqu’un d’autre. Si quelqu’un voulait vraiment avoir accès à votre compte bancaire ou commander un tas de choses auprès d’Amazon en utilisant votre carte de crédit, il lui suffit de convaincre quelqu’un de votre opérateur qu’il est vous, que vous avez perdu votre téléphone et que vous avez besoin de votre numéro déplacé vers une nouvelle carte SIM qu’ils détiennent.

Vous devriez probablement utiliser ceci

3. Applications d’authentification

Les applications d’authentification telles que Google Authenticator ou Authy offrent une grande amélioration par rapport à la 2FA basée sur les SMS. Ils fonctionnent en utilisant ce qu’on appelle des mots de passe à usage unique basés sur le temps (TOTP) qu’une application sur votre téléphone peut générer à l’aide d’un algorithme complexe sans aucune sorte de connexion réseau. Un site Web ou un service utilise le même algorithme pour s’assurer que le code est correct.

Les applications d’authentification sont meilleures que les SMS pour 2FA, mais elles ne sont pas infaillibles.

Puisqu’ils fonctionnent hors ligne, le style TOTP 2FA n’est pas soumis aux mêmes problèmes que l’utilisation de SMS, mais ce n’est pas sans ses propres défauts. Les chercheurs en sécurité ont montré qu’il est possible d’intercepter et de manipuler les données que vous envoyez lorsque vous entrez le TOTP sur un site Web, mais ce n’est pas facile.

Le vrai problème vient du phishing. Il est possible de créer un site Web de phishing qui ressemble et agit exactement comme la réalité et transmet même les informations d’identification que vous fournissez, comme votre mot de passe et le TOTP généré par une application d’authentification afin que vous puissiez vous connecter au service réel. Il se connecte également en même temps et peut agir comme si c’était vous sans que le service que vous utilisez connaisse la différence. Après tout, les bonnes informations d’identification ont été fournies.

Un autre inconvénient est qu’il peut ne pas être facile d’obtenir les codes dont vous avez besoin si vous perdez votre téléphone. Certaines applications d’authentification comme Authy fonctionnent sur tous les appareils et utilisent un mot de passe central pour configurer les choses afin que vous puissiez être de nouveau opérationnel en un rien de temps et la plupart des entreprises fourniront un ensemble de codes de sauvegarde que vous pouvez conserver pour les moments où tout va au sud. Étant donné que ces données sont également envoyées sur Internet, elles affaiblissent l’efficacité de l’utilisation de TOTP, mais offrent une plus grande commodité aux utilisateurs.

Sûr et pratique, mais pas courant

2. 2FA basé sur Push

Certains services, notamment Apple et Google, peuvent envoyer une invite à votre téléphone lors d’une tentative de connexion. Cette invite vous indique que quelqu’un essaie de se connecter à votre compte, peut également donner un emplacement approximatif et vous demande d’approuver ou de refuser la demande. Si c’est vous, vous appuyez sur un bouton et cela fonctionne.

Une notification pour 2FA est super facile et super pratique. Ne perdez pas votre téléphone cependant.

Le 2FA basé sur le push améliore l’authentification SMS 2FA et TOTP de plusieurs manières. C’est encore plus pratique car tout fonctionne via une notification standard sur votre téléphone – tout ce que vous avez à faire est de lire et d’appuyer. Il est également beaucoup plus résistant au phishing et s’est jusqu’à présent montré très résistant au “piratage”. Mais ne dites jamais jamais.

Le 2FA basé sur le push amplifie également certains des inconvénients des SMS et du TOTP: vous devez être en ligne via une connexion de données réelle (les plans de cellules vocales et textuelles ne fonctionneront pas) et vous devez tenir le bon appareil pour recevoir le message. Ce n’est pas non plus très standardisé, vous pouvez donc vous attendre à utiliser une invite de connexion sur votre Google Pixel pour authentifier vos autres comptes.

En dehors de ces deux inconvénients très réels, le 2FA basé sur le push s’est avéré sûr et pratique. Cela va également prendre en compte les futurs projets de Google visant à appliquer 2FA pour votre compte Google à l’avenir.

Le gagnant! Mais aussi ennuyeux!

1. 2FA basé sur le matériel

L’utilisation d’un matériel séparé comme un dispositif d’authentification ou une clé de sécurité U2F est le meilleur moyen de sécuriser un compte en ligne. C’est aussi le moins pratique et le moins populaire.

Vous le configurez à l’aide du matériel et chaque fois que vous souhaitez vous connecter à partir d’un nouvel appareil ou après un laps de temps défini par un administrateur de compte, vous devez produire le même appareil pour y revenir. Cela fonctionne lorsque l’appareil envoie un défi signé code vers le serveur spécifique au site, à votre compte et à l’appareil lui-même. Jusqu’à présent, U2F a été protégé contre le hameçonnage et le piratage. Encore une fois, ne dites jamais jamais.

L’utilisation d’une clé U2F est le moyen le moins pratique mais le plus sûr de faire une authentification à deux facteurs. Ce n’est probablement pas pour vous car c’est un PITA.

Vous pouvez généralement configurer plusieurs appareils sur le même compte afin de ne pas perdre l’accès si vous perdez votre clé de sécurité, mais cela signifie toujours que vous devez avoir cette clé avec vous chaque fois que vous souhaitez vous connecter à un site Web. ou service. J’utilise une clé U2F pour sécuriser mes comptes Google et toutes les 12 heures, je dois fournir la clé pour revenir à mon compte Google Enterprise pour le travail. Cela signifie que j’ai une clé dans le tiroir de mon bureau, une clé sur mon trousseau et une clé dans une enveloppe qu’un ami garde pour moi en cas d’urgence.

Habituellement, vous pouvez également configurer une méthode de sauvegarde de 2FA si vous utilisez une clé, et Google vous oblige à le faire. C’est excellent pour plus de commodité, mais cela compromet également la sécurité de votre compte car les méthodes moins sécurisées sont toujours des moyens viables pour vous – ou pour quiconque – de revenir.

Un autre inconvénient de l’utilisation d’un jeton matériel comme une clé de sécurité est le coût. L’utilisation de SMS, d’une application d’authentification ou de 2FA push est gratuite. Pour utiliser une clé de sécurité, vous devrez en acheter une et elles peuvent varier de 20 $ à 100 $ chacune. Parce que vous devriez vraiment avoir au moins une clé de sauvegarde si vous suivez cette route, cela peut s’additionner. Enfin, l’utilisation d’une clé de sécurité avec votre téléphone peut être maladroite. Vous trouverez des clés qui fonctionnent via USB, NFC et même Bluetooth, mais aucune méthode n’est fiable à 100% à 100% du temps lorsque vous utilisez une clé avec un téléphone.

Quel est le meilleur?

Tous et aucun d’entre eux.

Tout type de 2FA sur un compte est meilleur que rien du tout, et même le 2FA basé sur SMS signifie que vous êtes plus protégé que vous ne le seriez si vous vous fiez simplement à un mot de passe. Si vous avez la patience, un programme comme le programme de protection avancée de Google peut rendre votre vie en ligne très sécurisée et presque sans souci. Mais vous devez peser la commodité contre la sécurité.

Personnellement, j’aimerais que la 2FA basée sur les SMS disparaisse parce que même moi, je peux la pirater. Cela signifie que vous pouvez également le faire si vous êtes prêt à faire un peu de lecture et de copier-coller. Pire encore, cela signifie que n’importe qui peut le pirater et qu’il y a des gens qui prendront le temps et l’énergie de l’essayer sur n’importe quelle victime sans méfiance qu’ils peuvent trouver.

En fin de compte, vous devez réaliser que vous êtes une cible pour les pirates en ligne même si vous n’êtes pas un politicien ou une star de cinéma. Cela signifie que vous devez vraiment franchir une ou deux étapes supplémentaires pour protéger vos comptes en ligne et, espérons-le, en savoir un peu plus sur la façon dont les différentes méthodes d’authentification à deux facteurs peuvent vous aider à prendre la bonne décision.

