Plus de 90% des utilisateurs de Gmail n’utilisent pas l’authentification à deux facteurs
Pensez-y comme ça. Supposons que vous souhaitiez verrouiller votre porte pour protéger votre maison. Les professionnels de la sécurité affirment que le meilleur type de verrou disponible est bien meilleur que les serrures moins chères. Bien sûr, cela a du sens. Mais si cette serrure plus chère n’est pas disponible, n’avez-vous pas encore mieux une serrure moins chère que de ne pas en avoir du tout?
Oui, l'authentification à deux facteurs basée sur une application est préférable à l'authentification basée sur SMS. Mais si SMS est tout un service, c’est toujours mieux que de ne pas l’utiliser du tout.
Deux facteurs basés sur le SMS ont quelques faiblesses, mais cela manque l’essentiel. Un attaquant devra passer du temps à contourner votre vérification SMS. Et la plupart des cibles ne méritent probablement pas autant d’efforts.
Pourquoi vous avez besoin d'une authentification à deux facteurs
L'authentification à deux facteurs est nommée ainsi car elle nécessite deux éléments pour accéder à votre compte: quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous possédez (un code de sécurité supplémentaire provenant de votre appareil mobile ou un jeton physique).
Lorsque vous activez l'authentification à deux facteurs par SMS, le service envoie à votre numéro de téléphone mobile un message texte contenant un code à usage unique chaque fois que vous vous connectez à partir d'un nouvel appareil. Ainsi, même si quelqu'un a votre nom d'utilisateur et votre mot de passe pour ce compte, il ne pourra pas se connecter à votre compte sans accéder à vos messages texte.
Il existe également d'autres types de méthodes à deux facteurs, notamment des applications sur votre téléphone qui génèrent des codes de sécurité temporaires et des clés de sécurité physiques que vous devez connecter à votre ordinateur.
Tous les types d'authentification à deux facteurs offrent une protection considérable pour les comptes importants tels que vos comptes de messagerie, vos réseaux sociaux et vos comptes bancaires. Cela est particulièrement vrai si vous réutilisez des mots de passe. De nombreuses personnes réutilisent les mots de passe de plusieurs sites Web. Lorsque ce dernier perd sa base de données, ce mot de passe peut être utilisé pour se connecter à ses comptes de messagerie. L’authentification à deux facteurs ferait cesser ce droit.
Cela ne signifie pas que vous devriez réutiliser des mots de passe. Vous ne devez pas réutiliser les mots de passe. Vous devez utiliser un bon gestionnaire de mots de passe pour suivre les mots de passe forts et uniques.
Pourquoi les gens disent-ils que l'authentification par SMS est mauvaise?
- Un attaquant pourrait se faire passer pour votre identité et déplacer votre numéro de téléphone vers un nouveau téléphone faisant l'objet d'une escroquerie portant un numéro de téléphone. C'est l'attaque la plus probable.
- Un attaquant pourrait intercepter les SMS qui vous sont destinés. Par exemple, ils pourraient usurper une tour de téléphonie cellulaire près de chez vous ou un gouvernement pourrait utiliser son accès au réseau cellulaire pour transférer des messages.
C’est pourquoi les experts recommandent d’utiliser une autre méthode à deux facteurs, qui ne peut pas être utilisée aussi facilement par les États-nations et qui n’est pas vulnérable si votre opérateur de téléphonie mobile donne votre numéro de téléphone à quelqu'un d’autre. Si votre code provient d'une application de votre téléphone ou d'une clé de sécurité physique à laquelle vous vous connectez, votre facteur à deux facteurs n'est pas vulnérable aux problèmes liés au réseau téléphonique. L’attaquant aurait besoin de votre téléphone déverrouillé ou de la clé de sécurité physique à laquelle vous devez vous connecter.
Bien sûr, dans un monde parfait, le SMS n’est pas la solution idéale. Nous avons expliqué pourquoi les experts en sécurité n’aimaient pas l’authentification en deux étapes basée sur SMS. Mais, même lorsque nous avons présenté cette affaire, nous avons tenté de clarifier un point: l'authentification à deux facteurs basée sur SMS est beaucoup, bien mieux que rien.
Certaines personnes ont besoin de plus de sécurité que les SMS
Pour l’instant, l’authentification moyenne repose sur l’authentification par SMS. L’authentification basée sur SMS rend les attaquants plus pénibles pour accéder à votre compte, et vous ne valez probablement pas la peine de leur donner du fil à retordre s’il existe d’autres cibles plus faciles et plus juteuses. La plupart des gens n'utilisent même pas l'authentification par SMS, et le Web serait un endroit beaucoup plus sécurisé si tout le monde le faisait.
Les personnes susceptibles d'être la cible d'attaques sophistiqués doivent éviter l'authentification par SMS. Par exemple, si vous êtes un politicien, un journaliste, une célébrité ou un dirigeant d'entreprise, vous pouvez être ciblé. Si vous êtes une personne ayant accès à des données d'entreprise sensibles, un administrateur système disposant d'un accès étendu à des systèmes sensibles ou tout simplement une personne ayant beaucoup d'argent à la banque, les SMS peuvent s'avérer trop risqués.
Toutefois, si vous êtes la personne moyenne avec un compte Gmail ou Facebook et que personne n’a une raison de passer beaucoup de temps à accéder à vos comptes, l’authentification par SMS convient parfaitement et vous devez absolument l’activer plutôt que de ne rien utiliser du tout.
Vous êtes aussi sécurisé que le maillon le plus faible
En d'autres termes, de nombreux services, voire la plupart, vous permettent d'accéder à votre compte avec votre numéro de téléphone, même si vous utilisez la plupart du temps un code généré par une application ou une clé de sécurité physique. Vous êtes aussi sécurisé que le maillon le plus faible du système. Essayez de vérifier les autres façons de vous connecter si vous n’avez pas la méthode habituelle.
C’est pourquoi, pour vraiment verrouiller un compte Google, il ne suffit pas d’éviter l’authentification en deux étapes par SMS. Vous devez également vous inscrire au programme de protection avancée de Google, qui est une publicité de Google destinée aux "journalistes, activistes, dirigeants d'entreprise et équipes de campagne politique". Ce programme gratuit nécessite l'utilisation d'une clé de sécurité physique pour vous connecter, mais également beaucoup plus. informations pour récupérer votre compte.
S'il vous plaît utiliser SMS si vous n'utilisez pas 2FA à l'heure actuelle
Nous ne voulons pas vous endormir dans un faux sentiment de sécurité: si vous êtes une personne susceptible d'être ciblée par des gouvernements étrangers, des sociétés d'espionnage ou des criminels organisés, vous devez absolument éviter l'authentification à deux facteurs par SMS et verrouiller votre sécurité. comptes avec quelque chose de plus sécurisé.
Toutefois, si vous êtes la personne moyenne qui n’a pas encore activé l’authentification à deux facteurs, ne vous découragez pas: un facteur à deux SMS vous rendra beaucoup plus sécurisé que l’absence totale de deux facteurs. C’est une base importante pour la sécurité.
Tout le monde devrait utiliser la vérification par SMS à moins d’utiliser quelque chose de mieux.
