Qu'est-ce que l'authentification à deux facteurs et pourquoi devez-vous l'utiliser ?

L'une des pensées épouvantables à l'heure actuelle, où les données sont le nouveau pétrole, est la crainte de compromettre les comptes en ligne ou d'en perdre complètement l'accès. Bien que plusieurs facteurs puissent être attribués à cette préoccupation, le plus important d'entre eux est le manque de sécurité adéquate en place, qui peut être décomposé en négligence et en mauvaises pratiques de sécurité que la plupart des utilisateurs finissent par suivre par inadvertance/inadvertance.

Une solution consiste à activer 2FA (authentification à deux facteurs) sur tous vos comptes pour renforcer leur sécurité. De cette façon, même si votre mot de passe est divulgué/piraté, votre compte ne sera toujours pas accessible tant qu'il n'aura pas été validé par le deuxième facteur (jeton de vérification 2FA).

Mais il s'avère que beaucoup de gens ne semblent pas tirer parti de 2FA ou sont inconscients de son existence. Donc, pour simplifier les choses, voici un guide sur l'authentification à deux facteurs avec des réponses à certaines des questions les plus courantes concernant 2FA.

Qu'est-ce que l'authentification à deux facteurs (2FA) ?

L'authentification à deux facteurs ou 2FA est un type de mécanisme d'authentification multifacteur (MFA) qui ajoute une couche de sécurité supplémentaire à votre compte - un deuxième facteur, dans le cas de 2FA - pour authentifier vos connexions.

Idéalement, lorsque vous vous connectez à un compte à l'aide de votre nom d'utilisateur et de votre mot de passe, le mot de passe sert de premier facteur d'authentification. Et ce n'est qu'après que le service a vérifié que le mot de passe saisi est correct qu'il vous permet d'accéder à votre compte.

L'un des problèmes de cette approche est qu'elle n'est pas la plus sécurisée : si quelqu'un obtient le mot de passe de votre compte, il peut facilement se connecter et utiliser votre compte. C'est précisément là qu'intervient la nécessité d'un deuxième facteur.

Un deuxième facteur, qui peut être configuré de différentes manières, ajoute une couche supplémentaire d'authentification à votre compte au moment de la connexion. Lorsqu'il est activé, lorsque vous entrez le mot de passe correct pour votre compte, vous devez entrez le code de vérification, valable pour une durée limitée, pour vérifier votre identité. Une fois la vérification réussie, vous êtes autorisé à accéder au compte.

Selon le service mettant en œuvre le mécanisme, la 2FA peut parfois également être traitée comme une vérification en deux étapes (2SV), comme dans le cas de Google. Cependant, outre la différence de nom, le principe de travail derrière les deux reste le même.

Comment fonctionne l'authentification à deux facteurs (2FA) ?

Comme mentionné dans la section précédente, l'authentification à deux facteurs implique l'utilisation d'un deuxième facteur (en plus du premier facteur : le mot de passe) pour effectuer un contrôle d'identité au moment de la connexion.

Pour ce faire, les applications et services mettant en œuvre 2FA nécessitent qu'au moins deux des facteurs (ou éléments de preuve) suivants soient vérifiés par l'utilisateur final avant de pouvoir se connecter et commencer à utiliser un service :

je. Connaissance - quelque chose que vous savez
ii. Possession - quelque chose que vous avez
iii. Inhérence - quelque chose que vous êtes

Pour vous donner une meilleure idée de ce qui constitue ces différents facteurs, dans la plupart des scénarios, le facteur Connaissance peut être, par exemple, le mot de passe ou le code PIN de votre compte, tandis que le facteur Possession peut inclure quelque chose comme une clé de sécurité USB ou un porte-clés d'authentification, et le facteur Inhérence peut être votre biométrie : empreinte digitale, rétine, etc.

Une fois que vous avez configuré et exécuté 2FA sur l'un de vos comptes, vous devez saisir l'un des deux facteurs de vérification, entre Possession et Inhérence , en plus du facteur Connaissance , pour vérifier votre identité sur le service au moment de connexion.

Ensuite, en fonction de ce que vous souhaitez protéger et du service que vous utilisez, vous disposez de deux options pour choisir votre deuxième mécanisme d'authentification préféré. Vous pouvez utiliser Possession : n'importe quelle clé de sécurité physique ou une application de génération de code sur votre smartphone, qui vous fournit un jeton à usage unique que vous pouvez utiliser pour vérifier votre identité . Ou vous pouvez compter sur Inherence : vérification faciale et autres , tel que fourni par certains des services de nos jours, comme deuxième facteur de vérification de sécurité pour votre compte.

L'authentification à deux facteurs est-elle infaillible ? Y a-t-il des inconvénients à utiliser 2FA ?

Maintenant que vous comprenez ce qu'est l'authentification à deux facteurs et comment elle fonctionne, examinons de plus près sa mise en œuvre et les inconvénients (le cas échéant) de son utilisation sur votre compte.

Pour commencer, alors que le consensus autour de l'utilisation de l'authentification à deux facteurs parmi la plupart des experts est dans l'ensemble positif et incite les gens à activer 2FA sur leurs comptes, il y a certainement quelques lacunes dans la mise en œuvre du mécanisme qui l'empêchent d'être une solution infaillible.

Ces lacunes (ou plutôt vulnérabilités) sont principalement le résultat d'une mauvaise implémentation de 2FA par les services qui les utilisent, ce qui peut, en soi, être défectueux à différents niveaux.

Pour vous donner une idée d'une implémentation 2FA faible (lire inefficace), envisagez un scénario dans lequel vous avez activé 2FA sur votre compte à l'aide de votre numéro de mobile. Dans cette configuration, le service vous envoie un OTP par SMS que vous devez utiliser pour vérifier votre identité. Cependant, puisque le deuxième facteur est envoyé sur le transporteur dans cette situation, il est sujet à divers types d'attaques et, par conséquent, n'est pas sécurisé en soi. Par conséquent, une telle mise en œuvre ne peut pas être aussi efficace qu'elle devrait l'être pour protéger votre compte.

Outre le scénario ci-dessus, il existe plusieurs autres situations où 2FA pourrait être vulnérable à toutes sortes d'attaques. Certaines de ces situations incluent des cas où un site Web/une application incorporant le mécanisme : a une implémentation biaisée pour la vérification des jetons ; n'a pas de limite de taux qui peut permettre à quelqu'un de forcer brutalement son accès au compte ; permet au même OTP d'être envoyé plusieurs fois ; s'appuie sur un contrôle d'accès inapproprié pour les codes de secours, entre autres. Tout cela peut conduire à des vulnérabilités qui peuvent permettre à quelqu'un - avec les bonnes connaissances et compétences - de se repérer dans le mécanisme 2FA mal implémenté et d'accéder au compte ciblé.

De même, un autre scénario où 2FA peut être problématique est lorsque vous l'utilisez avec négligence. Par exemple, si vous avez activé l'authentification à deux facteurs sur un compte à l'aide d'une application de génération de code et décidez de passer à un nouvel appareil mais oubliez de déplacer l'application d'authentification sur le nouveau téléphone, vous pouvez être complètement verrouillé hors de votre compte. Et à votre tour, vous pourriez vous retrouver dans une situation où il peut être difficile de récupérer l'accès à ces comptes.

Une autre situation où 2FA peut parfois vous blesser est lorsque vous utilisez des SMS pour obtenir votre jeton 2FA. Dans ce cas, si vous voyagez et déménagez dans un endroit avec une mauvaise connectivité, vous risquez de ne pas recevoir le jeton à usage unique par SMS, ce qui peut rendre votre compte temporairement inaccessible. Sans oublier que vous changez d'opérateur et que l'ancien numéro de mobile est toujours lié à différents comptes pour 2FA.

Cependant, avec tout cela dit, il y a un facteur crucial en jeu ici, à savoir que, puisque la plupart d'entre nous sont des internautes moyens et n'utilisons pas nos comptes pour des cas d'utilisation douteux, il est peu probable qu'un pirate cible notre comptes comme des attaques potentielles. L'une des raisons évidentes à cela est qu'un compte d'un utilisateur moyen n'est pas assez appât et n'offre pas beaucoup à gagner pour que quelqu'un passe son temps et son énergie à mener une attaque.

Dans un tel scénario, vous finissez par tirer le meilleur parti de la sécurité 2FA plutôt que de rencontrer certains de ses inconvénients extrêmes, comme indiqué précédemment. En bref, les avantages de 2FA l'emportent sur les inconvénients pour la majorité des utilisateurs, à condition que vous l'utilisiez avec précaution.

Pourquoi devriez-vous utiliser l'authentification à deux facteurs (2FA) ?

Au fur et à mesure que nous nous inscrivons à de plus en plus de services en ligne, nous augmentons d'une certaine manière les chances que nos comptes soient compromis. À moins, bien sûr, qu'il y ait des contrôles de sécurité en place pour assurer la sécurité de ces comptes et tenir les menaces à distance.

Au cours des dernières années, les violations de données de certains des services populaires (avec une énorme base d'utilisateurs) ont divulgué des tonnes d'informations d'identification d'utilisateur (adresses e-mail et mots de passe) en ligne, ce qui a mis en danger la sécurité de millions d'utilisateurs dans le monde, permettant à un pirate (ou toute personne ayant le savoir-faire) pour utiliser les informations d'identification divulguées pour accéder à ces comptes.

Bien que cela soit en soi une grande préoccupation, les choses empirent lorsque ces comptes ne disposent pas d'une authentification à deux facteurs, car cela rend l'ensemble du processus simple et peu sophistiqué pour un pirate informatique. Ainsi, permettant une prise en main facile.

Cependant, si vous utilisez l'authentification à deux facteurs sur votre compte, vous vous retrouvez avec une couche de sécurité supplémentaire, difficile à contourner car elle utilise le facteur Possession ( quelque chose que vous seul avez ) - un OTP ou un jeton généré par l'application/fob — pour vérifier votre identité.

En fait, les comptes qui nécessitent une étape supplémentaire pour entrer ne sont généralement pas ceux sur le radar des attaquants (en particulier dans les attaques à grande échelle) et sont donc comparativement plus sûrs que ceux qui n'utilisent pas 2FA. Cela dit, il est indéniable que l'authentification à deux facteurs ajoute une étape supplémentaire au moment de la connexion. Cependant, la sécurité et la tranquillité d'esprit que vous obtenez en retour valent incontestablement la peine.

Le scénario mentionné ci-dessus n'est qu'un des nombreux cas où l'activation de 2FA sur votre compte peut s'avérer bénéfique. Mais cela dit, il convient de mentionner à nouveau que, même si 2FA ajoute à la sécurité de votre compte, ce n'est pas non plus une solution infaillible et doit donc être correctement implémentée par le service ; sans parler de la configuration correcte du côté de l'utilisateur, qui doit être effectuée avec soin (en sauvegardant tous les codes de récupération) pour que le service fonctionne en votre faveur.

Comment implémenter l'authentification à deux facteurs (2FA) ?

Selon le compte que vous souhaitez sécuriser avec l'authentification à deux facteurs, vous devez suivre une série d'étapes pour activer 2FA sur votre compte. Que ce soit certains des sites Web de réseaux sociaux populaires comme Twitter, Facebook et Instagram ; des services de messagerie comme WhatsApp ; ou même votre compte de messagerie ; ces services offrent la possibilité d'activer 2FA pour améliorer la sécurité de votre compte.

À notre avis, bien que l'utilisation de mots de passe forts et uniques pour tous vos différents comptes soit rudimentaire, vous ne devez pas ignorer l'authentification à deux facteurs, mais plutôt en profiter si un service fournit la fonctionnalité, en particulier pour votre compte Google, qui est lié à la plupart de vos autres comptes comme option de récupération.

En parlant de la meilleure méthode pour activer l'authentification à deux facteurs, l'un des moyens les plus sûrs consiste à utiliser une clé matérielle qui génère du code à intervalles fixes. Cependant, pour un utilisateur moyen, les applications de génération de code telles que Google, LastPass et Authy devraient également fonctionner parfaitement. De plus, de nos jours, vous obtenez certains gestionnaires de mots de passe qui offrent à la fois un coffre-fort et un générateur de jetons, ce qui le rend encore plus pratique pour certains.

Alors que la plupart des services nécessitent un ensemble d'étapes similaires pour activer l'authentification à deux facteurs, vous pouvez consulter notre guide sur la façon d'activer 2FA sur votre compte Google et d'autres sites Web de médias sociaux pour savoir comment configurer correctement la sécurité d'authentification à deux facteurs sur Votre compte. Et pendant que vous faites cela, assurez-vous d'avoir une copie de tous les codes de sauvegarde afin de ne pas être bloqué sur votre compte au cas où vous ne recevriez pas de jetons ou perdriez l'accès au générateur de jetons.