Les différentes formes d'authentification à deux facteurs: SMS, applications Autheticator, etc.

Table des matières:

Les différentes formes d'authentification à deux facteurs: SMS, applications Autheticator, etc.
Les différentes formes d'authentification à deux facteurs: SMS, applications Autheticator, etc.

Vidéo: Les différentes formes d'authentification à deux facteurs: SMS, applications Autheticator, etc.

Vidéo: Les différentes formes d'authentification à deux facteurs: SMS, applications Autheticator, etc.
Vidéo: Qu’est-ce que l’identification à deux facteurs ? – Assistance Apple - YouTube 2024, Mars
Anonim
De nombreux services en ligne offrent une authentification à deux facteurs, ce qui renforce la sécurité en exigeant plus que votre mot de passe pour vous connecter. Il existe de nombreux types de méthodes d'authentification supplémentaires que vous pouvez utiliser.
De nombreux services en ligne offrent une authentification à deux facteurs, ce qui renforce la sécurité en exigeant plus que votre mot de passe pour vous connecter. Il existe de nombreux types de méthodes d'authentification supplémentaires que vous pouvez utiliser.

Différents services offrent différentes méthodes d'authentification à deux facteurs et, dans certains cas, vous pouvez même choisir parmi différentes options. Voici comment ils fonctionnent et en quoi ils diffèrent.

Vérification SMS

De nombreux services vous permettent de vous inscrire pour recevoir un SMS chaque fois que vous vous connectez à votre compte. Ce message SMS contiendra un court code à usage unique que vous devrez entrer. Avec ce système, votre téléphone cellulaire est utilisé comme deuxième méthode d’authentification. Quelqu'un ne peut pas simplement accéder à votre compte s'il a votre mot de passe; il a besoin de votre mot de passe et de l'accès à votre téléphone ou à ses messages SMS.
De nombreux services vous permettent de vous inscrire pour recevoir un SMS chaque fois que vous vous connectez à votre compte. Ce message SMS contiendra un court code à usage unique que vous devrez entrer. Avec ce système, votre téléphone cellulaire est utilisé comme deuxième méthode d’authentification. Quelqu'un ne peut pas simplement accéder à votre compte s'il a votre mot de passe; il a besoin de votre mot de passe et de l'accès à votre téléphone ou à ses messages SMS.

C’est pratique, vous n’avez besoin de rien faire de spécial et la plupart des gens ont un téléphone portable. Certains services peuvent même composer un numéro de téléphone et faire en sorte qu’un système automatisé prononce un code, ce qui vous permet de l’utiliser avec un numéro de téléphone fixe qui ne peut pas recevoir de messages texte.

Cependant, la vérification par SMS pose de gros problèmes. Les attaquants peuvent utiliser les attaques par permutation SIM pour accéder à vos codes sécurisés ou les intercepter grâce aux failles du réseau cellulaire. Nous vous déconseillons d'utiliser des messages SMS, si possible. Cependant, les messages SMS sont encore beaucoup plus sécurisés que de ne pas utiliser d'authentification à deux facteurs!

Codes générés par les applications (comme Google Authenticator et Authy)

Vous pouvez également faire générer vos codes par une application sur votre téléphone. L'application la plus connue dans ce domaine est Google Authenticator, que Google propose pour Android et iPhone. Cependant, nous préférons Authy, qui fait tout ce que Google Authenticator fait - et plus encore. Malgré le nom, ces applications utilisent un standard ouvert. Par exemple, il est possible d’ajouter des comptes Microsoft et de nombreux autres types de comptes à l’application Google Authenticator.
Vous pouvez également faire générer vos codes par une application sur votre téléphone. L'application la plus connue dans ce domaine est Google Authenticator, que Google propose pour Android et iPhone. Cependant, nous préférons Authy, qui fait tout ce que Google Authenticator fait - et plus encore. Malgré le nom, ces applications utilisent un standard ouvert. Par exemple, il est possible d’ajouter des comptes Microsoft et de nombreux autres types de comptes à l’application Google Authenticator.

Installez l'application, scannez le code lors de la création d'un nouveau compte et cette application générera de nouveaux codes environ toutes les 30 secondes. Vous devrez entrer le code actuel affiché dans l'application sur votre téléphone, ainsi que votre mot de passe lorsque vous vous connecterez à un compte.

Cela n’exige pas du tout un signal cellulaire, et la «graine» qui permet à l’application de générer ces codes limités dans le temps n’est stockée que sur votre appareil. Cela signifie que le système est beaucoup plus sécurisé: même les personnes qui ont accès à votre numéro de téléphone ou qui interceptent vos messages texte ne connaissent pas vos codes.

Certains services, par exemple Battle.net Authenticator de Blizzard, possèdent également leurs propres applications générant du code.

Clés d'authentification physique

Cette solution fonctionne mieux que la vérification par SMS et les codes à usage unique, car elle ne peut être ni interceptée ni dérangée. C’est aussi plus simple et plus pratique à utiliser. Par exemple, un site de phishing peut vous montrer une fausse page de connexion Google et capturer votre code à usage unique lorsque vous essayez de vous connecter. Il pourrait ensuite utiliser ce code pour se connecter à Google. Cependant, avec une clé d’authentification physique qui fonctionne de concert avec votre navigateur, celui-ci peut s’assurer qu’il communique avec le site Web réel et le code ne peut pas être capturé par un attaquant.

Attendez-vous à en voir beaucoup plus dans le futur.

Authentification basée sur une application

Image
Image

Certaines applications mobiles peuvent fournir une authentification à deux facteurs à l'aide de l'application elle-même. Par exemple, Google propose désormais une authentification à deux facteurs sans code tant que l'application Google est installée sur votre téléphone. Chaque fois que vous essayez de vous connecter à Google depuis un autre ordinateur ou appareil, il vous suffit d'appuyer sur un bouton de votre téléphone, aucun code requis. Google vérifie que vous avez accès à votre téléphone avant de vous connecter.

La vérification en deux étapes d’Apple fonctionne de la même manière, bien qu’elle n’utilise pas d’application - elle utilise le système d’exploitation iOS lui-même. Chaque fois que vous essayez de vous connecter à partir d'un nouvel appareil, vous pouvez recevoir un code à usage unique envoyé à un appareil enregistré, comme votre iPhone ou iPad. L’application mobile de Twitter possède une fonctionnalité similaire appelée vérification de la connexion. De plus, Google et Microsoft ont ajouté cette fonctionnalité aux applications pour smartphone Google et Microsoft Authenticator.

Systèmes basés sur le courrier électronique

D'autres services s'appuient sur votre compte de messagerie pour vous authentifier. Par exemple, si vous activez Steam Guard, Steam vous demandera de saisir un code à usage unique envoyé dans votre courrier électronique chaque fois que vous vous connecterez à partir d'un nouvel ordinateur. Cela garantit au moins qu'un attaquant aura besoin à la fois du mot de passe de votre compte Steam et de l'accès à votre compte de messagerie pour pouvoir accéder à ce compte.
D'autres services s'appuient sur votre compte de messagerie pour vous authentifier. Par exemple, si vous activez Steam Guard, Steam vous demandera de saisir un code à usage unique envoyé dans votre courrier électronique chaque fois que vous vous connecterez à partir d'un nouvel ordinateur. Cela garantit au moins qu'un attaquant aura besoin à la fois du mot de passe de votre compte Steam et de l'accès à votre compte de messagerie pour pouvoir accéder à ce compte.

Ce n'est pas aussi sécurisé que les autres méthodes de vérification en deux étapes, car il peut être facile pour quelqu'un d'accéder à votre compte de messagerie, surtout si vous n'utilisez pas la vérification en deux étapes! Évitez la vérification par courrier électronique si vous pouvez utiliser quelque chose de plus fort. (Heureusement, Steam propose une authentification basée sur les applications sur son application mobile.)

Le dernier recours: codes de récupération

Les codes de récupération constituent un filet de sécurité en cas de perte de la méthode d'authentification à deux facteurs. Lorsque vous configurez une authentification à deux facteurs, des codes de récupération vous sont généralement fournis. Vous devez les noter et les stocker dans un endroit sûr. Vous en aurez besoin si vous perdez votre méthode de vérification en deux étapes.

Assurez-vous d'avoir une copie de vos codes de récupération quelque part si vous utilisez une authentification en deux étapes.

Image
Image

Vous ne trouverez pas autant d'options pour chacun de vos comptes. Cependant, de nombreux services offrent plusieurs méthodes de vérification en deux étapes parmi lesquelles vous pouvez choisir.

Il est également possible d’utiliser plusieurs méthodes d’authentification à deux facteurs. Par exemple, si vous configurez une application générant du code et une clé de sécurité physique, vous pouvez accéder à votre compte via l'application si vous perdez la clé physique.

Conseillé: