Qu'est-ce que l'authentification à deux facteurs?
Le lecteur de How-To Geek, Jordan, écrit avec une question directe:
I’m hearing more and more about two-factor authentication. I vaguely remember Google making a big deal about it last year, my bank recently offered a free key-ring thing for valued customers, and my roommate even has some sort of app on his phone to keep his Diablo III account from getting hacked. I get that it’s some sort of security tool but what exactly is it and should I be using it?
Pour comprendre ce qu’est l’authentification à deux facteurs, examinons d’abord ce qu’est l’authentification à un facteur et comparons-la aux modèles de sécurité réel et virtuel.
Lorsque vous rentrez du travail, retirez vos clés et ouvrez la porte de derrière, vous vous engagez dans une authentification simple à un facteur. La porte et la serrure ne s’inquiètent pas de savoir si la personne qui détient la clé est vous, votre voisin ou un criminel qui a levé vos clés. La seule chose qui importe pour la serrure, c’est que la clé s’ajuste (vous n’avez pas besoin de deux clés, d’une clé et d’une empreinte digitale, ni de toute autre combinaison de chèques). La clé physique est la seule confirmation que la personne qui l'utilise est autorisée à ouvrir la porte.
Le même niveau d'authentification à un facteur est atteint lorsque vous vous connectez à un site Web ou à un service nécessitant simplement votre identifiant et votre mot de passe. Vous insérez cette information et elle existe comme seule vérification que vous êtes, en fait, vous.
En supposant que personne ne vole jamais vos clés ou craque / vole votre mot de passe, vous êtes en forme. Bien que le risque de vol de vos clés soit relativement faible, la sécurité virtuelle est plus complexe (et contrairement aux violations de la sécurité en ligne. Par exemple, le responsable de votre complexe d'appartements ne copiera jamais accidentellement toutes les clés et les laissera avec votre nom et votre adresse au coin d'une rue. ).
Les failles de sécurité, les attaques sophistiquées et d’autres aspects malheureux mais trop réels du travail et des jeux dans un espace virtuel nécessitent des pratiques de sécurité améliorées, notamment des mots de passe complexes multiples et diversifiés et, le cas échéant, une authentification à deux facteurs.
Qu'est-ce que l'authentification à deux facteurs et à quoi ressemble-t-elle pour vous, l'utilisateur final? Une authentification à deux facteurs minimum requiert deux des trois variables d'authentification approuvées par les réglementations, telles que:
- Quelque chose que vous connaissez (comme le code PIN de votre carte bancaire ou votre mot de passe de messagerie).
- Quelque chose que vous avez (la carte de banque physique ou un jeton d'authentificateur).
- Quelque chose que vous soyez (biométrie comme votre empreinte digitale ou votre motif d'iris).
Si vous avez déjà utilisé une carte de débit, vous avez utilisé une forme simple d'authentification à deux facteurs: il ne suffit pas de connaître le code PIN ou de disposer physiquement de la carte, vous devez posséder les deux pour accéder à votre compte bancaire via le guichet automatique.
L'authentification à deux facteurs peut revêtir diverses formes tout en respectant l'exigence des deux tiers. Il peut exister un jeton physique, tel que ceux couramment utilisés dans le secteur bancaire, dans lequel un code OTA est généré pour vous. Pour vous connecter, vous avez besoin de votre nom d'utilisateur, mot de passe et le code unique (qui expire toutes les 30 secondes environ). D'autres entreprises ignorent la route matérielle personnalisée et fournissent des applications pour téléphone mobile (ou des codes fournis par SMS) offrant les mêmes fonctionnalités. Bien que cela ne soit pas particulièrement courant, vous pouvez également utiliser une authentification à deux facteurs basée sur la biométrie (telle que la sécurité d'un fichier crypté via un mot de passe et une empreinte digitale).
Pourquoi devrais-je l'utiliser et où puis-je le trouver?
À chaque fois que l'authentification à deux facteurs est disponible pour un système et que ce système compromis vous causerait des souffrances considérables, vous devez l'activer. Lorsque votre courrier électronique est compromis, vous vous exposez à la compromission d'autres services en tant que serveurs de messagerie, qui constituent une sorte de clé principale permettant d'accéder aux réinitialisations de mot de passe et à d'autres requêtes. Si votre banque fournit un authentificateur mobile ou un autre outil, profitez-en. Même pour des choses comme votre compte Diablo III comme compagnon de chambre, les joueurs passent des centaines d’heures à construire leurs personnages et dépensent souvent de l’argent réel pour acheter des produits intégrés au jeu.
Malheureusement, tous les services ne proposent pas une authentification à deux facteurs. Le meilleur moyen de le savoir est de parcourir les fichiers FAQ / support et / ou de contacter le support du service en question. Cela dit, de nombreuses entreprises se sont prononcées sur l’adoption de schémas d’authentification à plusieurs facteurs.
Google dispose d'une authentification à deux facteurs pour les SMS et avec une application mobile très pratique. Consultez notre guide d'installation et de configuration de l'application mobile ici.
LastPass propose plusieurs formes d'authentification multi-facteurs, notamment l'utilisation de Google Authenticator. Nous avons un guide pour le configurer ici.
Facebook dispose d'un système à deux facteurs appelé «approbation de connexion» qui utilise SMS pour confirmer votre identité.
SpiderOak, un service de stockage semblable à Dropbox, offre une authentification à deux facteurs.
Blizzard, la société derrière des jeux comme World of War Craft et Diablo, dispose d’un authentifiant gratuit.
Même si cela a l'air, basé sur la lecture du fichier FAQ de l'entreprise en question, ils ne disposent pas d'une authentification à deux facteurs, envoyez-leur un email et demandez-leur. Plus le nombre de personnes interrogées à propos du double facteur augmente, plus la société aura de chances de le mettre en œuvre.
Bien que l’authentification à deux facteurs ne soit pas invulnérable (une attaque sophistiquée de type «homme au milieu» ou une personne dérobant votre jeton d’authentification secondaire et vous battant avec un tuyau pourraient le casser), il est radicalement plus sûr que de s’appuyer sur un mot de passe ordinaire. et le simple fait d'activer un système à deux facteurs fait de vous une cible beaucoup moins attrayante.
Connaissez-vous un service, petit ou grand, offrant une authentification à deux facteurs? Parlez dans les commentaires pour alerter vos collègues lecteurs.