La plupart des gens sont paresseux et utilisent des mots de passe faibles faciles à casser. Mais les mots de passe forts ne sont pas non plus parfaits :ils peuvent être enregistrés, interceptés ou même divulgués lors de violations de données majeures.
C'est pourquoi l'authentification à deux facteurs a explosé en popularité au cours de la dernière décennie. Un mot de passe unique est trop fragile pour une véritable sécurité, et l'ajout d'une deuxième couche de défense permettra de mieux sécuriser vos comptes.
Mais l'authentification à deux facteurs n'est pas parfaite. En fait, il peut venir vous mordre à l'arrière si vous ne faites pas attention. Voici quelques inconvénients négligés.
Authentification multi-facteurs est une pratique qui vous oblige à présenter plusieurs éléments de preuve ("facteurs") qui authentifient chacun votre identité. Si vous ne disposez pas de tous les facteurs d'authentification, le système ne vous accordera pas l'accès à votre compte.
L'authentification à deux facteurs se produit lorsque le système ne nécessite que deux éléments de preuve.
Il existe toutes sortes de facteurs d'authentification qui peuvent être utilisés dans le cadre d'un système multifacteur, mais ils ont tous tendance à se répartir en trois grands groupes :
Tout cela sonne bien en un coup d'œil. Mais vous avez peut-être déjà repéré certains des problèmes qui pourraient survenir lors de leur utilisation pour la vérification d'identité.
La simple vérité est qu'il n'y a non garantir que vos facteurs d'authentification seront disponibles lorsque vous en aurez besoin. La plupart du temps, ils le feront, mais il suffit d'une seule erreur pour bloquer l'accès à vos comptes.
Imaginez que vous ayez des codes SMS comme deuxième facteur d'authentification. Cela fonctionne très bien pour la vérification quotidienne des comptes bancaires et ainsi de suite, mais vous êtes alors frappé par un ouragan massif et laissé sans électricité pendant des jours ou des semaines.
Ou un tremblement de terre fait éclater vos tuyaux, submergeant votre maison et votre téléphone. Ou vous oubliez votre téléphone sur une commode dans votre précipitation pour évacuer un feu de forêt qui approche... ou vous attrapez accidentellement un rançongiciel sur votre téléphone et il est rendu inaccessible. Alternativement, vous pouvez peut-être simplement laisser tomber votre téléphone.
S'appuyer sur une clé USB comme deuxième facteur est risqué. Vous pourriez l'égarer ou le faire passer accidentellement dans le lavage. Si vous comptez sur des facteurs de connaissance comme les NIP, il y a toujours une chance que vous oubliez ce que c'est. Les facteurs biométriques ne sont pas parfaits non plus :les yeux et les doigts peuvent être perdus dans les accidents.
Les victimes des ouragans Harvey et Irma se sont retrouvées bloquées sur leurs propres comptes. Pourquoi? Parce qu'ils n'avaient aucun moyen de recharger leurs téléphones. Aucun téléphone n'équivaut à aucune authentification. Aucune authentification n'équivaut à aucun accès.
Bien que la récupération de compte soit souvent possible, cela peut prendre du temps et risque d'être un énorme casse-tête. Si vous avez des dizaines de comptes protégés par un seul facteur et que vous perdez ce facteur, vous devez alors récupérer tous de ces comptes. Aïe.
Certaines méthodes d'authentification ont heureusement des moyens de contourner cela. Par exemple, certains services proposent des codes de secours à usage unique en cas de perte de facteurs, auquel cas vous devez absolument enregistrez ces codes quelque part.
Bien que l'authentification à deux facteurs offre une sécurité supplémentaire, le degré de cette sécurité supplémentaire est souvent exagéré. Certaines personnes peuvent même vous dire qu'un compte protégé par deux facteurs est quasiment impossible à pirater, mais c'est tout simplement faux.
L'authentification à deux facteurs est loin d'être parfaite.
Prenez la récupération, par exemple. Si vous ne pouvez plus accéder à un service parce que vous avez perdu un facteur, n'êtes-vous pas essentiellement dans la même position qu'un pirate essayant d'accéder à votre compte ? Si vous peut réinitialiser l'accès au compte sans facteur, alors vous pouvez être sûr que les pirates peut faire la même chose aussi.
En fait, les options de récupération de compte rendent souvent l'authentification à deux facteurs inutile, c'est pourquoi des entreprises comme Apple se sont éloignées de la plupart des méthodes de récupération. Les mauvaises nouvelles? Sans options de récupération, votre compte peut être définitivement perdu.
Et puis il y a des services qui offrent une authentification à deux facteurs mais ne s'y engagent pas pleinement, ce qui met la sécurité du compte hors de vos mains. Par exemple, PayPal fournit un deuxième facteur appelé "Clé de sécurité PayPal", mais en 2014, comme l'a documenté Ian Dunn, il pouvait être complètement contourné sans effort.
Des points faibles comme celui-ci existent dans tous les services, même les grands noms. Encore une fois en 2014, les pirates ont réussi à contourner la protection à deux facteurs et à accéder aux comptes d'utilisateurs de Google, Instagram, Amazon, Apple, entre autres.
Tout cela signifie simplement :vous pouvez tout faire correctement avec l'authentification à deux facteurs et toujours avoir votre compte compromis . Quel que soit le sentiment de sécurité que cela apporte, c'est une illusion.
Bien que l'authentification à deux facteurs soit destinée à empêcher les pirates d'accéder à vos comptes, l'inverse peut également se produire :les pirates peuvent configurer ou reconfigurer l'authentification à deux facteurs pour vous de vos propres comptes.
Vous pouvez en savoir plus sur l'expérience directe d'un Redditor à ce sujet :un pirate informatique a pénétré par effraction dans son compte Apple, a enregistré des centaines de dollars d'achats, puis a lié l'authentification à deux facteurs avec l'un des propres appareils du pirate. Bien qu'il soit le véritable propriétaire du compte, le Redditor ne pouvait rien y faire.
Donc, dans un sens, même si l'authentification à deux facteurs n'est peut-être pas assez efficace pour sécuriser les comptes (ce que nous avons exploré dans le risque 2), elle peut l'être trop efficace.
Alors que les services continuent de renforcer leurs protocoles à deux facteurs et rendent la récupération de compte encore plus difficile, il devient de plus en plus impératif de configurer une authentification à deux facteurs sur vos comptes importants.
Faites-le maintenant avant qu'un pirate ne le fasse pour vous.
Un autre gros inconvénient de l'authentification à deux facteurs est son inconvénient. Ce n'est qu'une étape supplémentaire, mais lorsque vous vous connectez à des comptes sur une base hebdomadaire ou quotidienne, ces étapes supplémentaires s'additionnent. Je pense que le désagrément en vaut la peine.
Il serait facile de pointer ces risques et inconvénients comme des excuses pour renoncer complètement à l'authentification à deux facteurs, mais je dis continuez à l'utiliser (ou commencez à l'utiliser si vous ne l'avez pas déjà fait). Soyez simplement conscient de la façon dont cela pourrait se retourner contre vous et prenez les mesures appropriées pour éviter de tels problèmes.
Utilisez-vous l'authentification à deux facteurs ? Que ce soit oui ou non, dites-nous pourquoi dans les commentaires ci-dessous ! Et si vous avez d'autres risques à prendre en compte, partagez-les également !