Comment bien faire 2FA : Premiers pas avec l'authentification à deux facteurs

Comment bien faire 2FA : Premiers pas avec l'authentification à deux facteurs

Sécurité
Comment bien faire 2FA : Premiers pas avec l'authentification à deux facteurs

(Image credit:Antenne Centre)

Auparavant, l'authentification à deux facteurs (2FA) ressemblait à quelque chose de réservé aux films d'espionnage ou aux thrillers politiques - le genre de chose qu'Ethan Hunt de Mission Impossible doit utiliser pour accéder à sa mission avant qu'elle ne s'autodétruise. Mais ce n'est plus le cas. Nous utilisons pratiquement tous l'A2F au quotidien, qu'il s'agisse de l'A2F biométrique sur nos appareils (empreintes digitales ou reconnaissance faciale) ou des mots de passe à usage unique courants obtenus par SMS ou une application d'authentification.

Nos comptes sont tout simplement trop précieux pour que les pirates les ignorent. Même un compte de messagerie compromis peut être un tremplin pour accéder à des comptes financiers et vous voler votre argent durement gagné tout en créant un scénario cauchemardesque pour vous. Bien que les films dépeignent un hacker vêtu d'un sweat à capuche avec des doigts volant furieusement sur le clavier, la réalité est que, selon le 2021 Rapport d'enquête sur les violations de données de Verizon l'écrasante majorité des atteintes à la sécurité (85 %) impliquent un élément humain. 2FA est le meilleur moyen de lutter contre ce type d'attaque.

  • Meilleurs services VPN 2021
  • L'application Norton Antivirus vous permet désormais de gagner de la crypto - voici ce que vous pouvez exploiter
  • le meilleures offres d'ordinateurs portables en juin 2021

Que vous pensiez que c'est une réelle préoccupation pour vous ou non, de nombreuses entreprises passent à 2FA comme mesure de sécurité requise avec Google étant l'un des derniers à annoncer qu'il exigera 2FA dans le futur proche.

Nous avons récemment expliqué pourquoi vous devez arrêtez d'utiliser votre numéro de téléphone pour l'authentification à deux facteurs , si vous avez manqué cela et que vous ne savez pas pourquoi c'est une si mauvaise idée, lisez-le et revenez, maintenant nous allons vous montrer comment faire 2FA de la bonne façon.

Qu'est-ce que l'authentification à deux facteurs ?

2FA est la forme d'authentification multifacteur (MFA) la plus connue et la plus utilisée, qui, comme son nom l'indique, repose sur plusieurs facteurs afin de vérifier votre identité. Un exemple classique est de retirer de l'argent à un guichet automatique, vous avez besoin de la carte ainsi que de votre code PIN pour accéder à votre compte.

Cet exemple comprend deux des trois catégories pour MFA, ce que vous avez (un objet physique) et ce que vous savez (un mot de passe ou une question de sécurité). La troisième option est ce que vous entendez par une méthode biométrique comme un scanner d'empreintes digitales ou la reconnaissance faciale. Contrairement à un mot de passe même incroyablement complexe, cela élimine la possibilité d'une violation de votre compte sans accès physique à vous.

Dans l'annonce 2FA susmentionnée de Google, il a fait référence aux mots de passe comme la plus grande menace pour votre sécurité en ligne. Pour l'instant, les mots de passe font toujours partie intégrante du processus 2FA pour la plupart des gens. Cependant, force est de constater qu'ils sont le point faible de la chaîne qui doit être renforcé par au moins un facteur supplémentaire. Jetons donc un coup d'œil aux meilleures options pour 2FA.

(Crédit image : 1Password)

Authentification à deux facteurs basée sur l'application

Comme pour à peu près tout, il existe des solutions d'application pour gérer 2FA, celles-ci sont appelées applications d'authentification. Il y en a des dizaines sur le marché, mais quelques-uns que je recommanderais sont Authy , Authentificateur Microsoft , Dernier passage et 1Mot de passe . Google Authenticator est une autre option populaire, mais je n'aime pas qu'il ne nécessite ni mot de passe ni connexion biométrique, c'est une faille de sécurité potentielle dans un processus qui tente de les éliminer.

Authy est une application d'authentification dédiée et est expressément utilisée pour la connexion 2FA. Microsoft Authenticator, LastPass et 1Password sont des gestionnaires de mots de passe qui ont intégré un composant d'authentification. Si vous avez besoin d'un gestionnaire de mots de passe ou si vous en utilisez déjà un, j'opterais pour cette voie car cela rend le processus 2FA aussi fluide que possible.

Une fois que vous avez choisi votre application d'authentification et que vous l'avez installée, vous pouvez commencer à configurer 2FA pour vos comptes. Cela va être la partie la plus fastidieuse du processus car elle implique de visiter n'importe quel service ou site que vous utilisez et qui offre un support 2FA un par un. Je soupçonne que c'est l'étape qui décourage la plupart des gens d'utiliser 2FA, mais cela en vaut finalement la peine pour votre sécurité en ligne. Et une fois que vous avez 2FA opérationnel, ce n'est pas le tracas que certains prétendent être.

(Image credit:Antenne Centre)

Lors de la configuration initiale, vous scannerez un code QR ou, dans certains cas, saisirez un code, puis ce service sera enregistré dans votre application d'authentification. Vous verrez vos comptes répertoriés avec un ensemble de six chiffres à côté d'eux et un compte à rebours. Toutes les 30 secondes, un nouveau code aléatoire à six chiffres est produit pour chacun. Ce sont des mots de passe à usage unique basés sur le temps (TOTP), similaires à ceux que vous obtiendriez par SMS ou par e-mail, mais ils ne nécessitent pas de connexion Internet et ne peuvent être interceptés par personne.

Maintenant, dans la plupart des cas, vous n'aurez pas besoin d'entrer votre code TOTP à chaque fois que vous vous connecterez, sauf si vous souhaitez ce niveau de sécurité. En règle générale, il est uniquement nécessaire que vous l'utilisiez lorsque vous vous connectez sur un nouvel appareil ou après un laps de temps défini, 30 jours est courant, mais les sites et les services varient en fonction de cela.

(Image credit:Antenne Centre)

Authentification matérielle à deux facteurs

Maintenant, il y a certainement un facteur de commodité avec les authentificateurs mobiles. En deux ans étude de cas avec Google , une solution matérielle était quatre fois plus rapide, moins susceptible de nécessiter une assistance et plus sécurisée. Une solution matérielle MFA/2FA ressemble beaucoup à une clé USB. Ils se présentent sous différentes formes et tailles et prennent en charge n'importe lequel de vos appareils avec USB Type-A, USB Type-C et Lightning. Certaines options modernes offriront également une prise en charge sans fil via NFC ou Bluetooth.

Avec ces clés de sécurité, il vous suffit de les brancher sur votre appareil ou de les glisser sur la puce NFC de votre appareil et cela sert de méthode 2FA. Il s'agit de la catégorie MFA de ce que vous avez. Il est facile de voir comment cela va être plus rapide que d'avoir à ouvrir votre application d'authentification, à trouver le code TOTP approprié, puis à le saisir avant qu'il ne se réinitialise.

Tout comme les applications d'authentification, il existe un nombre considérable d'options en ce qui concerne le matériel 2FA. Le plus important (et celui que Google a choisi pour ses plus de 50 000 employés) est Clé Yubi . Google lui-même a son Clé de sécurité Titan et Thétis est un autre acteur important sur le marché, mais toutes ces options sont certifiées FIDO U2F, une norme ouverte créée par Google et Yubico (la société derrière YubiKey) en 2007 pour promouvoir une large adoption de l'authentification sécurisée.

Le processus de configuration de base est essentiellement identique à la méthode d'authentification mobile, vous devrez vous rendre sur chaque service et suivre les instructions de configuration de 2FA. Plutôt que de scanner un code QR et d'obtenir les codes TOTP, vous brancherez ou glisserez votre clé de sécurité lorsque vous y serez invité et elle sera ensuite enregistrée auprès de ce service. Lorsque vous y serez invité à l'avenir, il vous suffira de brancher à nouveau ou de glisser votre clé de sécurité et d'appuyer sur le contact dessus. Si vous n'êtes pas sûr des services et des applications que vous utilisez et qui prennent en charge une clé de sécurité, vous pouvez vous référer à cette pratique catalogue de Yubico .

(Image credit:Antenne Centre)

La préoccupation la plus courante avec la clé de sécurité est de savoir quoi faire si vous la perdez ou si elle se casse. Il y a quelques options là-bas. Celle que Google utilise et que Yubico recommande est de conserver deux clés de sécurité, une qui est stockée en toute sécurité et une autre que vous gardez sur vous. À l'exception de certaines des minuscules clés de sécurité qui sont destinées à être branchées en permanence sur des appareils qui se trouvent dans un endroit sécurisé, toutes les clés de sécurité ont un trou pour leur permettre d'être attachées à votre trousseau de clés.

Cela signifie que chaque fois que vous vous inscrivez à 2FA sur un nouveau service, vous devez exécuter les deux clés de sécurité car il s'enregistre sur le matériel physique et non sur un compte, mais encore une fois après la configuration initiale, cela ne devrait pas être si fréquent d'un publier. Ce ne sont pas très chers avec le Clé YubiKey 5 NFC par exemple aller pour 45 $ et le Clé de sécurité Thetis FIDO2 BLE disponibles pour moins de 30 $ et vous ne devriez pas avoir à les remplacer pendant des années, ce n'est donc pas une mauvaise solution.

L'alternative est que vous devez conserver les codes de sauvegarde fournis par tous les sites et services sur lesquels vous utilisez 2FA. Ceux-ci peuvent être imprimés et stockés dans un emplacement sécurisé ou vous pouvez crypter et stocker les fichiers texte dans un endroit sûr, soit dans un dossier verrouillé par mot de passe et crypté, soit sur un lecteur flash stocké en toute sécurité.

(Image credit:Antenne Centre)

Aperçu

Que vous optiez pour une solution 2FA basée sur des applications ou sur du matériel, il ne fait aucun doute que la configuration initiale est l'un des plus grands obstacles étant donné le volume considérable de sites, de services et d'applications que beaucoup d'entre nous utilisent. J'ai trouvé plus facile d'en faire 3 à 5 par jour jusqu'à ce que je les parcoure tous plutôt que de participer à une seule session d'inscription au marathon.

Une fois que vous avez terminé avec ce processus initial, il s'agit d'une étape supplémentaire assez indolore qui vous offre bien plus de sécurité qu'un mot de passe seul ou une solution 2FA basée sur SMS ou e-mail. Vous pouvez vous irriter un peu du temps supplémentaire que vous passez occasionnellement à entrer votre code ou à brancher votre clé de sécurité, mais cela n'a rien à voir avec le mal de tête d'avoir à faire face à quelqu'un qui vole vos informations d'identification et qui peut potentiellement bouleverser votre vie pendant que vous essayez. pour reprendre le contrôle de vos comptes.

Avec des entreprises comme PayPal, Google et d'autres qui passent à 2FA comme exigence, vous aurez besoin d'une solution 2FA. Ne vous contentez pas de SMS ou de solutions par e-mail, elles sont tout simplement trop faciles à contourner. Les applications d'authentification et les clés de sécurité matérielles offrent une sécurité 2FA solide et, après ce processus de configuration initial, elle devient rapidement une partie intégrante de vos habitudes de sécurité en ligne.

Les meilleures offres Yubico YubiKey 5 NFC du jour Aucune information sur les prix Vérifiez Amazon Nous vérifions plus de 250 millions de produits chaque jour pour les meilleurs prix Sean Riley

Sean Riley couvre la technologie professionnellement depuis plus d'une décennie maintenant. La majeure partie de ce temps était en tant que pigiste couvrant des sujets variés, notamment les téléphones, les appareils portables, les tablettes, les appareils domestiques intelligents, les ordinateurs portables, la réalité augmentée, la réalité virtuelle, les paiements mobiles, la fintech, etc. Sean est l'expert mobile résident d'Antenne Centre, spécialisé dans les téléphones et les appareils portables. Vous trouverez ici de nombreuses actualités, critiques, conseils pratiques et articles d'opinion sur ces sujets. ButAntenne Center s'est également avéré parfaitement adapté à ce large éventail d'intérêts avec des critiques et des nouvelles sur les derniers ordinateurs portables, jeux VR et accessoires informatiques ainsi qu'une couverture sur tout, des NFT à la cybersécurité et plus encore.