C'est toujours une bonne idée de protéger vos comptes avec une authentification à 2 facteurs (2FA), mais toutes les méthodes ne sont pas égales. Alors que l'A2F par SMS et appels téléphoniques existe depuis longtemps, Microsoft affirme qu'il est temps que nous raccrochions et que nous passions à de meilleures technologies.
Alex Weinert, directeur de la sécurité des identités chez Microsoft, a écrit un article sur le site Web de la communauté technique. Il discute de l'état actuel des méthodes d'authentification multi-facteurs et explique pourquoi l'authentification à deux facteurs textuelle et vocale n'est plus aussi solide qu'elle l'était autrefois.
Premièrement, la 2FA basée sur le téléphone ne peut pas s'adapter aux attaques aussi bien que les autres technologies. Si un pirate trouve un moyen d'exploiter les SMS ou les appels téléphoniques, vous ne pouvez pas vraiment ajuster le fonctionnement de ces technologies pour arrêter les intrus.
De plus, les appels téléphoniques et les SMS ne sont pas cryptés; vous avez besoin d'une application spéciale pour le faire pour vous. Si les pirates parviennent à accéder à vos appels ou messages, ils peuvent obtenir toutes les informations dont ils ont besoin avec un minimum d'effort.
Recevoir un appel téléphonique ou un SMS dépend également en grande partie de la qualité de votre réseau mobile. Si vous vous trouvez dans une zone où le service est inégal, il peut être difficile de recevoir le code.
Pire encore, les messages SMS sont "lancez et oubliez", ce qui signifie que l'expéditeur n'a aucun moyen de voir si ses messages arrivent sur le téléphone du client. Il envoie simplement le message texte et espère que le client l'a bien compris.
Pour couronner le tout, 2FA par téléphone utilise un système de support client pour le sauvegarder. Les personnes travaillant au support client peuvent être trompées ou contraintes par des pirates informatiques pour accéder au téléphone 2FA, leur accordant ainsi l'accès.
Alex Weinert déclare qu'il ne veut pas se montrer comme s'il n'aimait pas 2FA. Il pense que c'est un élément essentiel de la sécurité en ligne de quiconque. C'est juste que la 2FA qui s'appuie sur les services téléphoniques est défectueuse, et des alternatives plus solides doivent être utilisées.
Alex fait un point fantastique avec son message. Lorsque la 2FA a commencé à faire des vagues sur Internet, la certification par téléphone était l'un des moyens les plus simples et les plus rapides de sécuriser son compte.
De nos jours, cependant, les SMS et les appels téléphoniques 2FA ont beaucoup de concurrents qui font mieux le travail. D'une part, la 2FA par e-mail est simple et efficace, car vous pouvez sécuriser un compte de messagerie avec un mot de passe fort et utiliser un service de messagerie crypté pour protéger vos messages.
Non seulement cela, mais certaines applications et services génèrent des codes 2FA pour vous. Il n'est pas nécessaire de vous en faire envoyer un; ouvrez l'application, voyez quel est le code actuel et vous êtes prêt à partir. Ces applications peuvent être sécurisées davantage à l'aide de la biométrie ou de codes d'accès.
Essentiellement, Weinert a mis le doigt sur la tête. Bien que la 2FA soit importante, les SMS et les appels téléphoniques sont des méthodes plus faibles et moins pratiques pour sécuriser votre compte.
Bien que 2FA soit important, Microsoft pense qu'il existe de meilleurs moyens de protéger votre compte que d'utiliser des SMS et des appels téléphoniques. À mesure que la technologie 2FA continue de se développer, la réception d'un code par SMS peut devenir un passe-temps perdu depuis longtemps.
Bien sûr, Microsoft n'était pas le premier à avoir cette idée. Il existe de nombreuses raisons d'arrêter d'utiliser SMS 2FA et d'adopter des technologies telles que les clés U2F.
Crédit image :vladwel / Shutterstock.com
