Comment bien faire 2FA : Premiers pas avec l'authentification à deux facteurs - AvisExpert.net

Table des matières:

Anonim

L'authentification à deux facteurs (2FA) semblait être quelque chose de réservé aux films d'espionnage ou aux thrillers politiques - le genre de chose qu'Ethan Hunt de Mission Impossible doit utiliser pour accéder à sa mission avant qu'elle ne s'autodétruise. Mais ce n'est plus le cas. Nous utilisons pratiquement tous le 2FA au quotidien, qu'il s'agisse du 2FA biométrique sur nos appareils (empreintes digitales ou reconnaissance faciale) ou des mots de passe à usage unique courants obtenus par SMS ou via une application d'authentification.

Nos comptes sont tout simplement trop précieux pour que les pirates les ignorent. Même un compte de messagerie compromis peut être un tremplin pour accéder à des comptes financiers et vous voler votre argent durement gagné tout en créant un scénario de cauchemar pour vous. Bien que les films dépeignent un hacker vêtu d'un sweat à capuche avec des doigts volant furieusement sur le clavier, la réalité est que, selon le rapport Verizon Data Breach Investigations Report 2022-2023, l'écrasante majorité des atteintes à la sécurité (85 %) implique un élément humain. 2FA est le meilleur moyen de lutter contre ce genre d'attaque.

  • Meilleurs services VPN 2022-2023
  • L'application Norton Antivirus vous permet désormais de gagner de la crypto - voici ce que vous pouvez exploiter
  • Les meilleures offres d'ordinateurs portables en juin 2022-2023

Que vous pensiez que cela vous préoccupe ou non, de nombreuses entreprises adoptent la 2FA en tant que mesure de sécurité requise, Google étant l'une des plus récentes à annoncer qu'elle nécessitera la 2FA dans un avenir proche.

Nous avons récemment expliqué pourquoi vous devez arrêter d'utiliser votre numéro de téléphone pour l'authentification à deux facteurs, si vous l'avez manqué et que vous ne savez pas pourquoi c'est une si mauvaise idée, lisez-le et revenez, maintenant nous allons vous montrer comment faire 2FA de la bonne façon.

Qu'est-ce que l'authentification à deux facteurs ?

La 2FA est la forme d'authentification multifacteur (MFA) la plus connue et la plus utilisée, qui, comme son nom l'indique, repose sur plusieurs facteurs pour vérifier votre identité. Un exemple classique est de retirer de l'argent à un guichet automatique, vous avez besoin de la carte ainsi que de votre code PIN pour accéder à votre compte.

Cet exemple comprend deux des trois catégories de MFA, « ce que vous avez » (un objet physique) et « ce que vous savez » (un mot de passe ou une question de sécurité). La troisième option est « ce que vous êtes », c'est-à-dire une méthode biométrique comme un lecteur d'empreintes digitales ou la reconnaissance faciale. Contrairement à un mot de passe même incroyablement complexe, cela élimine la possibilité d'une violation de votre compte sans accès physique à vous.

Dans l'annonce 2FA susmentionnée de Google, il a qualifié les mots de passe de "la plus grande menace pour votre sécurité en ligne". Pour l'instant, les mots de passe font toujours partie du processus 2FA pour la plupart des gens. Cependant, le fait est qu'ils sont le point faible de la chaîne qui doit être renforcé par au moins un facteur supplémentaire. Jetons donc un coup d'œil aux meilleures options pour 2FA.

Authentification à deux facteurs basée sur l'application

Comme pour à peu près tout, il existe des solutions d'applications pour gérer 2FA, elles sont appelées applications d'authentification. Il y en a des dizaines sur le marché, mais quelques-uns que je recommanderais sont Authy, Microsoft Authenticator, LastPass et 1Password. Google Authenticator est une autre option populaire, mais je n'aime pas qu'il ne nécessite ni mot de passe ni connexion biométrique, c'est une faille de sécurité potentielle dans un processus qui tente de les éliminer.

Authy est une application d'authentification dédiée et est expressément utilisée pour la connexion 2FA. Microsoft Authenticator, LastPass et 1Password sont des gestionnaires de mots de passe qui ont incorporé un composant d'authentification. Si vous avez besoin d'un gestionnaire de mots de passe ou si vous en utilisez déjà un, je choisirais cette voie car cela rend le processus 2FA aussi fluide que possible.

Une fois que vous avez choisi votre application d'authentification et l'avez installée, vous pouvez commencer à configurer 2FA pour vos comptes. Cela va être la partie la plus fastidieuse du processus car elle implique de visiter tout service ou site que vous utilisez et qui offre un support 2FA un par un. Je soupçonne que c'est l'étape qui décourage la plupart des gens d'utiliser 2FA, mais cela en vaut la peine pour votre sécurité en ligne. Et une fois que vous avez 2FA opérationnel, ce n'est pas le problème que certains prétendent être.

Lors de la configuration initiale, vous scannerez un code QR ou, dans certains cas, entrez un code, puis ce service sera enregistré dans votre application d'authentification. Vous verrez vos comptes répertoriés avec un ensemble de six chiffres à côté d'eux et un compte à rebours. Toutes les 30 secondes, un nouveau code aléatoire à six chiffres est produit pour chacun. Ce sont des mots de passe à usage unique basés sur le temps (TOTP), similaires à ceux que vous obtiendriez par SMS ou par e-mail, mais ils ne nécessitent pas de connexion Internet et ne peuvent être interceptés par personne.

Désormais, dans la plupart des cas, vous n'aurez plus besoin d'entrer votre code TOTP à chaque fois que vous vous connecterez, à moins que vous ne souhaitiez ce niveau de sécurité. En règle générale, il n'est nécessaire que vous l'utilisiez lorsque vous vous connectez sur un nouvel appareil ou après un laps de temps défini, 30 jours est courant, mais les sites et les services varient à ce sujet.

Authentification matérielle à deux facteurs

Maintenant, alors qu'il y a certainement un facteur de commodité avec les authentificateurs mobiles. Dans une étude de cas de deux ans avec Google, une solution matérielle était quatre fois plus rapide, moins susceptible de nécessiter une assistance et plus sécurisée. Une solution matérielle MFA/2FA ressemble beaucoup à une clé USB. Ils se présentent sous différentes formes et tailles offrant une prise en charge de tous vos appareils avec USB Type-A, USB Type-C et Lightning. Certaines options modernes offriront également une prise en charge sans fil via NFC ou Bluetooth.

Avec ces clés de sécurité, il vous suffit de les brancher sur votre appareil ou de les glisser sur la puce NFC de votre appareil et cela sert de méthode 2FA. Il s'agit de la catégorie MFA « ce que vous avez ». Il est facile de voir comment cela va être plus rapide que d'avoir à ouvrir votre application d'authentification, à trouver le code TOTP pertinent, puis à le saisir avant qu'il ne se réinitialise.

Tout comme les applications d'authentification, il existe un nombre considérable d'options en ce qui concerne le matériel 2FA. Le plus important (et celui avec lequel Google est allé avec ses plus de 50 000 employés) est YubiKey. Google lui-même a sa clé de sécurité Titan et Thetis est un autre acteur important sur le marché, mais toutes ces options sont certifiées FIDO U2F, une norme ouverte créée par Google et Yubico (la société derrière YubiKey) en 2007 pour promouvoir une large adoption de la sécurité authentification.

Le processus de configuration de base est essentiellement identique à la méthode d'authentification mobile, vous devrez vous rendre sur chaque service et suivre les instructions pour configurer 2FA. Plutôt que de scanner un code QR et d'obtenir les codes TOTP, vous allez soit brancher soit glisser votre clé de sécurité lorsque vous y êtes invité et elle sera ensuite enregistrée auprès de ce service. Lorsque vous y serez invité à l'avenir, il vous suffira de brancher à nouveau ou de glisser votre clé de sécurité et d'appuyer sur le contact dessus. Si vous n'êtes pas sûr des services et applications que vous utilisez qui prennent en charge une clé de sécurité, vous pouvez vous référer à ce catalogue pratique de Yubico.

La préoccupation la plus courante avec la clé de sécurité est de savoir quoi faire si vous la perdez ou si elle se casse. Il y a quelques options là-bas. Celui que Google utilise et que Yubico recommande est de conserver deux clés de sécurité, une qui est stockée en toute sécurité et une autre que vous gardez sur vous. À l'exception de certaines des minuscules clés de sécurité qui sont censées rester branchées en permanence sur des appareils qui se trouvent dans un endroit sécurisé, toutes les clés de sécurité ont un trou pour leur permettre d'être attachées à votre trousseau de clés.

Cela signifie que chaque fois que vous vous inscrivez à 2FA sur un nouveau service, vous devez exécuter les deux clés de sécurité lors de l'enregistrement sur le matériel physique et non sur un compte, mais encore une fois après la configuration initiale, cela ne devrait pas être si fréquent d'un problème. Celles-ci ne sont pas très chères avec la YubiKey 5 NFC par exemple pour 45 $ et la clé de sécurité Thetis FIDO2 BLE disponible pour moins de 30 $ et vous ne devriez pas avoir à les remplacer pendant des années, ce n'est donc pas une mauvaise solution.

L'alternative est que vous devez conserver les codes de sauvegarde fournis par tous les sites et services sur lesquels vous utilisez 2FA. Ceux-ci peuvent être imprimés et stockés dans un emplacement sécurisé ou vous pouvez crypter et stocker les fichiers texte dans un endroit sûr, soit dans un dossier verrouillé et crypté par mot de passe, soit sur un lecteur flash stocké en toute sécurité.

Aperçu

Que vous optiez pour une solution 2FA basée sur des applications ou sur du matériel, il ne fait aucun doute que la configuration initiale est l'un des plus gros obstacles compte tenu du volume considérable de sites, de services et d'applications que beaucoup d'entre nous utilisent. J'ai trouvé plus facile d'en faire 3 à 5 par jour jusqu'à ce que je les ai tous parcourus plutôt que de participer à une seule session d'inscription au marathon.

Une fois que vous avez terminé avec ce processus initial, il s'agit d'une étape supplémentaire assez indolore qui vous offre bien plus de sécurité qu'un mot de passe seul ou une solution 2FA par SMS ou e-mail. Vous pouvez vous irriter un peu du temps supplémentaire que vous passez occasionnellement à entrer votre code ou à brancher votre clé de sécurité, mais cela n'est rien en comparaison du casse-tête d'avoir à faire face à quelqu'un qui vole vos informations d'identification et potentiellement bouleverser votre vie pendant que vous essayez pour reprendre le contrôle de vos comptes.

Avec des entreprises comme PayPal, Google et d'autres passant à 2FA en tant qu'exigence, vous aurez besoin d'une solution 2FA. Ne vous contentez pas de solutions basées sur les SMS ou les e-mails, elles sont tout simplement trop facilement contournées. Les applications d'authentification et les clés de sécurité matérielles offrent une sécurité 2FA solide et, après ce processus de configuration initial, elles deviennent rapidement une partie intégrante de vos habitudes de sécurité en ligne.