J'espère que vous avez entendu parler des avantages de l'authentification à deux facteurs. Exiger autre chose qu'un simple mot de passe pour déverrouiller vos comptes en ligne les rend beaucoup plus difficiles à pénétrer.
Cependant, l'authentification à deux facteurs se présente sous plusieurs formes, certaines s'en tirant mieux que d'autres. Lorsque vous avez une option, laquelle devez-vous choisir ? Examinons les avantages et les inconvénients des méthodes d'authentification à deux facteurs pour le savoir.
Avant de plonger, prenons un moment pour clarifier les différences entre l'authentification à deux facteurs et l'authentification en deux étapes. Ils sont similaires, mais pas identiques.
Authentification à deux facteurs c'est lorsque vous protégez un compte avec deux types différents de méthodes d'autorisation. Un facteur peut être l'un des suivants :
Une véritable authentification à deux facteurs signifie que vous devez déverrouiller deux vérifications de facteurs différents avant de pouvoir vous connecter. Si votre compte est protégé par deux verrous du même facteur, cela s'appelle authentification en deux étapes .
Par exemple, un mot de passe et une question de sécurité sont tous deux quelque chose que vous connaissez, ce qui rend ce type d'authentification en deux étapes mais pas en deux facteurs. Cela offre toujours une meilleure protection qu'un mot de passe seul, mais une authentification à deux facteurs appropriée est préférable.
L'authentification à deux facteurs est un type d'authentification en deux étapes, mais ce n'est pas vrai dans l'autre sens.
Vous connaissez probablement cette méthode :lors de la création d'un compte, vous choisissez une ou plusieurs questions de sécurité et définissez des réponses pour chacune d'entre elles. Lorsque vous vous connecterez ultérieurement à ce compte, vous devrez fournir la bonne réponse à chaque question pour valider votre accès.
Les questions de sécurité sont extrêmement faciles à mettre en place. La plupart du temps, le service propose un menu déroulant de questions --- tout ce que vous avez à faire est d'en choisir quelques-unes et de donner la réponse. Vous n'avez besoin d'aucun autre équipement ou appareil ; la réponse est stockée dans votre tête.
De nombreuses réponses aux questions de sécurité sont faciles à trouver. Les gens peuvent trouver des informations comme le deuxième prénom de votre père ou la rue dans laquelle vous avez grandi dans les archives publiques ou sur les réseaux sociaux. Il est également facile de divulguer accidentellement ces informations sensibles via l'ingénierie sociale, comme des e-mails ou des appels téléphoniques de phishing.
Pour contourner les faiblesses des questions de sécurité, vous pouvez entrer une réponse charabia pour en faire efficacement un deuxième mot de passe. Mais vous devez faire attention à ne pas le perdre ou l'oublier --- le stocker dans votre gestionnaire de mots de passe est une bonne idée.
Pour ce type d'authentification à deux facteurs, vous fournissez votre numéro de téléphone mobile lors de la création d'un compte. Lorsque vous souhaitez vous connecter, le service vous envoie un message texte par SMS (ou e-mail, alternativement).
Cela a un code de vérification temporaire qui expire avant longtemps. Vous devez saisir la chaîne pour terminer la connexion.
Les SMS (et les e-mails) sont pratiques car presque tout le monde y a accès. Habituellement, les messages arrivent instantanément, ou tout au plus en quelques minutes. Si jamais vous perdez votre appareil, vous pouvez généralement transférer votre numéro de téléphone pour éviter d'être définitivement verrouillé.
Vous devez faire suffisamment confiance au service pour partager votre numéro de téléphone, car certains services peu recommandables peuvent utiliser votre numéro à des fins publicitaires. Un autre problème est que vous ne pouvez pas recevoir le texte contenant votre code de connexion si vous n'avez pas de service cellulaire.
De plus, les SMS et les e-mails ne sont pas des méthodes de communication sécurisées. Les pirates peuvent intercepter des SMS sans jamais toucher votre téléphone, même si ce n'est pas facile.
Avec cette méthode d'authentification, vous utilisez une application d'authentification pour scanner un code QR contenant une clé secrète. Cela charge la clé secrète dans l'application et génère des mots de passe temporaires qui changent régulièrement. Après avoir saisi votre mot de passe, vous devrez saisir le code de votre application d'authentification pour terminer la connexion.
Une fois que vous avez ajouté le compte à votre application d'authentification, vous n'avez pas besoin d'un service mobile pour y accéder. Étant donné que la clé secrète est stockée sur votre appareil lui-même, elle ne peut pas être interceptée comme le peuvent les SMS. Et si vous utilisez certaines applications d'authentification, comme Authy, vous pouvez synchroniser vos codes entre plusieurs appareils pour éviter d'être bloqué.
Si votre téléphone est à court de batterie, vous ne pourrez pas accéder à vos codes (bien que cela soit également vrai pour les SMS). Étant donné que les codes utilisent le temps pour générer, il est possible que les horloges se désynchronisent entre votre appareil et le service, ce qui entraîne des codes non valides. C'est pourquoi vous devez toujours imprimer les codes de sauvegarde fournis par les services comme méthode de connexion d'urgence.
Bien que peu probable, si un pirate clonait d'une manière ou d'une autre votre clé secrète, il pourrait générer ses propres codes valides à volonté. Et si le service ne limite pas les tentatives de connexion, les pirates peuvent toujours être en mesure de compromettre votre compte par pure force brute.
Universal 2nd Factor (U2F) est une norme ouverte utilisée avec les périphériques USB, les périphériques NFC et les cartes à puce. Pour vous authentifier, il vous suffit de brancher une clé USB, de heurter un périphérique NFC ou de glisser une carte à puce.
Une clé U2F est un véritable facteur physique. Tant que vous les gardez physiquement en sécurité, ils ne peuvent pas être interceptés ou redirigés numériquement. Et contrairement à la plupart des méthodes à deux facteurs, les clés U2F sont à l'épreuve du phishing car elles ne fonctionnent qu'une fois que vous les avez enregistrées sur un site. Ils sont donc l'une des méthodes 2FA les plus sécurisées actuellement disponibles.
U2F est une technologie relativement nouvelle, elle n'est donc pas aussi largement prise en charge que d'autres choix. L'autre inconvénient majeur est la gêne due aux différents ports USB de vos appareils. Par exemple, si vous avez une clé U2F avec un connecteur USB-A, elle ne fonctionnera pas sur votre appareil Android, iPhone ou MacBook plus récent sans adaptateur.
Les clés U2F haut de gamme ont un NFC intégré pour que vous puissiez les utiliser avec des appareils mobiles, mais elles sont plus chères. Alors que les clés U2F commencent à environ 20 $, en obtenir une qui est robuste ou qui inclut NFC coûtera plus cher.
Certaines plates-formes d'authentification à deux facteurs offrent une méthode alternative qui mérite d'être étudiée. Avec cela, après avoir entré votre mot de passe, vous recevez une notification push sur votre appareil avec des informations sur la tentative de connexion. Appuyez simplement sur Approuver ou Refuser pour répondre à la demande.
Les notifications push sont beaucoup plus pratiques que d'ouvrir votre application d'authentification et de copier un code. Ils contiennent également des informations sur qui essaie de se connecter, telles que le type d'appareil, l'adresse IP et l'emplacement général. Cela vous avertit de toute tentative de connexion malveillante dès qu'elle se produit.
De plus, comme la notification push est liée à votre téléphone, il n'y a aucun risque qu'un pirate copie votre code secret ou vole un SMS. Cette méthode nécessite que vous ayez physiquement votre appareil avec vous pour vous connecter.
L'authentification par notification push nécessite que votre téléphone soit connecté à Internet. Ainsi, si vous n'avez pas de connexion de données et que vous n'êtes pas connecté au Wi-Fi, vous ne recevrez pas l'invite de connexion.
De plus, il y a un risque d'ignorer les informations contenues dans le push et de simplement les approuver sans réfléchir. Si vous ne faites pas attention, cela pourrait vous amener à accorder l'accès à quelqu'un qui ne devrait pas l'avoir.
La reconnaissance faciale, la reconnaissance vocale et les analyses d'empreintes digitales relèvent toutes de la catégorie de la biométrie. Les systèmes utilisent l'authentification biométrique lorsqu'il est impératif que vous soyez vraiment qui vous prétendez être, souvent dans des domaines qui nécessitent une autorisation de sécurité (comme le gouvernement).
La biométrie est extrêmement difficile à pirater. Même une empreinte digitale, qui est probablement la plus facile à copier, nécessite une sorte d'interaction physique.
La reconnaissance vocale nécessiterait une sorte de déclaration dite dans votre voix, et la reconnaissance faciale nécessiterait quelque chose d'aussi radical que la chirurgie plastique. Ce n'est pas incassable, mais c'est assez proche.
Le plus gros inconvénient, qui est la raison pour laquelle la biométrie est rarement utilisée comme méthode à deux facteurs, est qu'une biométrie compromise est compromise à vie. Vous ne pouvez pas modifier votre empreinte digitale ou votre visage comme vous pouvez modifier un numéro de téléphone.
De plus, la plupart des gens ne sont pas à l'aise de donner leur visage, leur voix ou leurs empreintes digitales aux entreprises. Même si vous le faisiez, la technologie permettant d'utiliser correctement ces facteurs serait trop difficile à mettre en œuvre pour les applications et services de tous les jours.
Maintenant que nous avons examiné les avantages et les inconvénients des méthodes d'authentification à deux facteurs, laquelle est la meilleure ? Cela dépend de ce que vous appréciez le plus.
En général, voici nos recommandations :
Si vous avez le choix, ne comptez jamais sur les questions de sécurité comme méthode à deux facteurs. Lorsqu'un site les requiert, traitez-les comme un deuxième mot de passe et stockez vos réponses dans un gestionnaire de mots de passe. Il n'est pas judicieux de répondre directement aux questions.
Maintenant que vous savez quelle méthode utiliser, suivez notre guide pour activer l'authentification à deux facteurs sur de nombreux sites Web populaires.
