Qu'est-ce que l'authentification à deux facteurs et pourquoi devez-vous l'utiliser ?

Une des pensées inquiétantes à l’ère actuelle, où les données sont le nouveau pétrole, est la préoccupation de voir ses comptes en ligne compromis ou de perdre complètement l’accès à ceux-ci. Bien que plusieurs facteurs puissent être attribués à cette préoccupation, le plus significatif d’entre eux est le manque de sécurité adéquate en place, qui peut être décomposé en négligence et en mauvaises pratiques de sécurité que la plupart des utilisateurs finissent par suivre, volontairement ou involontairement.

Une solution à cette situation est d’activer la 2FA (authentification à deux facteurs) sur tous vos comptes pour renforcer leur sécurité. De cette façon, même si votre mot de passe est divulgué/hacké, votre compte ne sera toujours pas accessible tant qu’il n’aura pas été validé par le second facteur (jeton de vérification 2FA).

Mais il s’avère que beaucoup de gens ne semblent pas tirer parti de la 2FA ou ignorent son existence. Pour simplifier les choses, voici un guide sur l’authentification à deux facteurs avec des réponses à certaines des questions les plus courantes concernant la 2FA.

Qu’est-ce que l’authentification à deux facteurs (2FA) ?

L’authentification à deux facteurs ou 2FA est un type de mécanisme d’authentification multi-facteurs (MFA) qui ajoute une couche de sécurité supplémentaire à votre compte - un second facteur, dans le cas de la 2FA - pour authentifier vos connexions.

Idéalement, lorsque vous vous connectez à un compte en utilisant votre nom d’utilisateur et votre mot de passe, le mot de passe sert de premier facteur d’authentification. Et ce n’est qu’après que le service vérifie que le mot de passe saisi est correct qu’il vous permet d’accéder à votre compte.

Un des problèmes avec cette approche est qu’elle n’est pas la plus sécurisée : si quelqu’un obtient votre mot de passe de compte, il peut facilement se connecter et utiliser votre compte. C’est précisément là que la nécessité d’un second facteur entre en jeu.

Un second facteur, qui peut être configuré de plusieurs manières, ajoute une couche d’authentification supplémentaire à votre compte au moment de la connexion. Avec cela activé, lorsque vous entrez le mot de passe correct pour votre compte, vous devez entrer le code de vérification, valable pour une période de temps limitée, pour vérifier votre identité. Après une vérification réussie, vous obtenez l’accès au compte.

Selon le service qui met en œuvre le mécanisme, la 2FA peut parfois également être appelée vérification en deux étapes (2SV), comme dans le cas de Google. Cependant, en dehors de la différence de nom, le principe de fonctionnement reste le même.

Aussi sur TechPP

Comment activer l’authentification à deux facteurs sur Facebook, Instagram et TwitterLire la suite

Comment fonctionne l’authentification à deux facteurs (2FA) ?

Comme mentionné dans la section précédente, l’authentification à deux facteurs implique l’utilisation d’un second facteur (en plus du premier facteur : mot de passe) pour compléter une vérification d’identité au moment de la connexion.

Pour ce faire, les applications et services mettant en œuvre la 2FA nécessitent qu’au moins deux des facteurs suivants (ou éléments de preuve) soient vérifiés par l’utilisateur final avant qu’il puisse se connecter et commencer à utiliser un service :

i. Connaissance – quelque chose que vous savez
ii. Possession – quelque chose que vous avez
iii. Inhérence – quelque chose que vous êtes

Pour vous donner une meilleure idée de ce qui constitue ces différents facteurs, dans la plupart des scénarios, le facteur Connaissance peut être, disons, votre mot de passe de compte ou votre code PIN, tandis que le facteur Possession peut inclure quelque chose comme une clé de sécurité USB ou un porte-clés d’authentification, et le facteur Inhérence peut être vos biométries : empreinte digitale, rétine, etc.

Une fois que vous avez configuré et activé la 2FA sur l’un de vos comptes, vous devez entrer l’un des deux facteurs de vérification, entre Possession et Inhérence, en plus du facteur Connaissance, pour vérifier votre identité sur le service au moment de la connexion.

Ensuite, selon ce que vous souhaitez protéger et le service que vous utilisez, vous avez deux options pour choisir votre mécanisme d’authentification secondaire préféré. Vous pouvez soit utiliser Possession : n’importe quelle clé de sécurité physique ou une application génératrice de codes sur votre smartphone, qui vous fournit un jeton à usage unique que vous pouvez utiliser pour vérifier votre identité. Ou vous pouvez vous fier à Inhérence : vérification faciale et autres, comme le proposent certains des services de nos jours, comme second facteur de vérification de sécurité pour votre compte.

Aussi sur TechPP

Comment activer l’authentification à deux facteurs sur votre compte GoogleLire la suite

L’authentification à deux facteurs est-elle infaillible ? Y a-t-il des inconvénients à utiliser la 2FA ?

Maintenant que vous comprenez ce qu’est l’authentification à deux facteurs et comment elle fonctionne, examinons de plus près sa mise en œuvre et les inconvénients (le cas échéant) de son utilisation sur votre compte.

Pour commencer, bien que le consensus autour de l’utilisation de l’authentification à deux facteurs parmi la plupart des experts soit largement positif et incite les gens à activer la 2FA sur leurs comptes, il existe certainement quelques lacunes dans la mise en œuvre du mécanisme qui l’empêchent d’être une solution infaillible.

Ces lacunes (ou plutôt vulnérabilités) sont principalement le résultat d’une mauvaise mise en œuvre de la 2FA par les services qui les utilisent, ce qui peut, en soi, être défectueux à divers niveaux.

Pour vous donner une idée d’une mise en œuvre de 2FA faible (lisez inefficace), envisagez un scénario où vous avez la 2FA activée sur votre compte en utilisant votre numéro de mobile. Dans cette configuration, le service vous envoie un OTP par SMS que vous devez utiliser pour vérifier votre identité. Cependant, puisque le second facteur est envoyé par le biais de l’opérateur dans cette situation, il est soumis à divers types d’attaques, et donc, n’est pas sécurisé en soi. En conséquence, une telle mise en œuvre ne peut pas être aussi efficace qu’elle devrait l’être pour protéger votre compte.

En plus du scénario ci-dessus, il existe plusieurs autres situations où la 2FA pourrait être vulnérable à toutes sortes d’attaques. Certaines de ces situations incluent des cas où un site Web/application incorporant le mécanisme : a une mise en œuvre biaisée pour la vérification des jetons ; manque d’une limite de taux qui peut permettre à quelqu’un de forcer son chemin dans le compte ; permet à la même OTP d’être envoyée encore et encore ; repose sur un contrôle d’accès inapproprié pour les codes de sauvegarde, entre autres. Tous ces éléments peuvent conduire à des vulnérabilités qui peuvent permettre à quelqu’un - avec les bonnes connaissances et compétences - de contourner le mécanisme de 2FA mal implémenté et d’accéder au compte ciblé.

De même, un autre scénario où la 2FA peut être problématique est lorsque vous l’utilisez de manière négligente. Par exemple, si vous avez activé l’authentification à deux facteurs sur un compte en utilisant une application génératrice de codes et que vous décidez de passer à un nouvel appareil mais oubliez de transférer l’application d’authentification sur le nouveau téléphone, vous pouvez être complètement verrouillé hors de votre compte. Et à son tour, vous pourriez vous retrouver dans une situation où il peut être difficile de récupérer l’accès à de tels comptes.

Une autre situation où la 2FA peut parfois vous nuire est lorsque vous utilisez SMS pour obtenir votre jeton 2FA. Dans ce cas, si vous voyagez et vous déplacez dans un endroit avec une mauvaise connectivité, vous pourriez ne pas recevoir le jeton à usage unique par SMS, ce qui peut rendre votre compte temporairement inaccessible. Sans parler du fait que vous changez d’opérateur et que vous avez toujours l’ancien numéro de mobile lié à différents comptes pour la 2FA.

Aussi sur TechPP

Utilisez votre smartphone Android comme clé de sécurité pour l’authentification à deux facteurs [Guide]Lire la suite

Cependant, avec tout cela dit, il y a un facteur crucial en jeu ici, qui est que, puisque la plupart d’entre nous sont des utilisateurs moyens d’internet et n’utilisent pas nos comptes pour des cas d’utilisation douteux, il est peu probable qu’un hacker cible nos comptes comme des attaques potentielles. Une des raisons évidentes à cela est qu’un compte d’utilisateur moyen n’est pas assez appétissant et n’offre pas grand-chose à gagner pour que quelqu’un passe son temps et son énergie à mener une attaque.

Dans un tel scénario, vous obtenez le meilleur de la sécurité 2FA plutôt que de rencontrer certains de ses inconvénients extrêmes, comme mentionné précédemment. En résumé, les avantages de la 2FA l’emportent sur les inconvénients pour la majorité des utilisateurs - à condition que vous l’utilisiez avec précaution.

Pourquoi devriez-vous utiliser l’authentification à deux facteurs (2FA) ?

Alors que nous nous inscrivons à de plus en plus de services en ligne, nous augmentons, d’une certaine manière, les chances de voir nos comptes compromis. À moins, bien sûr, qu’il n’y ait des contrôles de sécurité en place pour garantir la sécurité de ces comptes et tenir les menaces à distance.

Au cours des dernières années, des violations de données de certains des services populaires (avec une énorme base d’utilisateurs) ont divulgué des tonnes de données d’identification d’utilisateurs (adresses e-mail et mots de passe) en ligne, ce qui a mis en danger la sécurité de millions d’utilisateurs dans le monde, permettant à un hacker (ou à toute personne ayant le savoir-faire) d’utiliser les identifiants divulgués pour accéder à ces comptes.

Bien que cela soit déjà une grande préoccupation, les choses s’aggravent lorsque ces comptes n’ont pas d’authentification à deux facteurs en place, car cela rend le processus tout à fait simple et peu sophistiqué pour un hacker. Ainsi, permettant une prise de contrôle facile.

Cependant, si vous employez l’authentification à deux facteurs sur votre compte, vous vous retrouvez avec une couche de sécurité supplémentaire, qui est difficile à contourner puisqu’elle utilise le facteur Possession ( quelque chose que vous avez uniquement) - un OTP ou un jeton généré par une application/porte-clés - pour vérifier votre identité.

En fait, les comptes qui nécessitent une étape supplémentaire pour y accéder ne sont généralement pas ceux qui sont dans le viseur des attaquants (surtout lors d’attaques à grande échelle), et sont donc comparativement plus sécurisés que ceux qui n’utilisent pas la 2FA. Cela dit, il est indéniable que l’authentification à deux facteurs ajoute une étape supplémentaire au moment de la connexion. Cependant, la sécurité et la tranquillité d’esprit que vous obtenez en retour valent indiscutablement le coup.

Aussi sur TechPP

6 habitudes technologiques que vous devriez essayer d’adopter cette annéeLire la suite

Le scénario mentionné ci-dessus n’est qu’un des nombreux exemples où avoir la 2FA activée sur votre compte peut s’avérer bénéfique. Mais cela dit, il convient de rappeler à nouveau que, même si la 2FA renforce la sécurité de votre compte, ce n’est pas une solution infaillible non plus, et doit donc être mise en œuvre correctement par le service ; sans oublier la configuration appropriée de la part de l’utilisateur, qui doit être effectuée avec soin (en prenant une sauvegarde de tous les codes de récupération) pour que le service fonctionne en votre faveur.

Comment mettre en œuvre l’authentification à deux facteurs (2FA) ?

Selon le compte que vous souhaitez sécuriser avec l’authentification à deux facteurs, vous devez suivre un ensemble d’étapes pour activer la 2FA sur votre compte. Que ce soit sur certains des sites de réseaux sociaux populaires comme Twitter, Facebook et Instagram ; des services de messagerie comme WhatsApp ; ou même votre compte e-mail ; ces services offrent la possibilité d’activer la 2FA pour améliorer la sécurité de votre compte.

À notre avis, bien que l’utilisation de mots de passe forts et uniques pour tous vos différents comptes soit rudimentaire, vous ne devriez pas ignorer l’authentification à deux facteurs mais plutôt en tirer parti si un service offre cette fonctionnalité - surtout pour votre compte Google, qui est lié à la plupart de vos autres comptes comme option de récupération.

En parlant de la meilleure méthode pour activer l’authentification à deux facteurs, l’une des façons les plus sécurisées est d’utiliser une clé matérielle qui génère un code à intervalles fixes. Cependant, pour un utilisateur moyen, les applications génératrices de codes comme celles de Google, LastPass et Authy devraient fonctionner parfaitement bien aussi. De plus, de nos jours, vous obtenez certains gestionnaires de mots de passe qui offrent à la fois un coffre-fort et un générateur de jetons, ce qui rend les choses encore plus pratiques pour certains.

Bien que la plupart des services nécessitent un ensemble d’étapes similaire pour activer l’authentification à deux facteurs, vous pouvez consulter notre guide sur la façon d’activer la 2FA sur votre compte Google et d’autres sites de médias sociaux pour découvrir comment configurer correctement la sécurité de l’authentification à deux facteurs sur votre compte. Et pendant que vous faites cela, assurez-vous d’avoir une copie de tous les codes de sauvegarde afin de ne pas être verrouillé hors de votre compte au cas où vous ne recevriez pas de jetons ou perdriez l’accès au générateur de jetons.