Blog

Qu'est-ce que l'authentification à deux facteurs (2FA) et en avez-vous besoin ?

Qu



L'authentification à deux facteurs (2FA) fait référence à un processus de connexion qui nécessite plus qu'un simple mot de passe. Si votre mot de passe est compromis d'une manière ou d'une autre, 2FA peut empêcher un attaquant de se connecter à votre compte en exigeant une deuxième forme de vérification.

La vérification en deux étapes (2SV) et l'authentification multifacteur (MFA) sont des termes souvent utilisés de manière interchangeable avec l'authentification à deux facteurs, bien qu'il existe certaines différences que nous aborderons plus tard. Vous pouvez rencontrer 2FA lorsque vous vous connectez à un appareil ou à un compte, tel que :



  • Un code PIN à usage unique envoyé par SMS, e-mail ou une application d'authentification comme Google Authenticator ou Authy
  • Un dispositif d'authentification matériel, tel qu'une clé USB, qui doit être inséré avant de se connecter
  • Une analyse biométrique, telle qu'une empreinte digitale ou une analyse de la rétine, en plus d'un mot de passe

2FA peut être configuré pour de nombreux comptes en ligne, et nous vous recommandons fortement de le faire. En règle générale, cela implique la saisie d'un code PIN lors de la connexion à partir d'un nouvel appareil ou d'un nouvel emplacement, ou après l'expiration de votre session précédente. Cela peut sembler un fardeau, mais 2FA contribue grandement à protéger les comptes contre les pirates.

Contenu [ cacher ]



Comment fonctionne l’authentification à deux facteurs en pratique ?

facebook2fa

Si 2FA est activé pour votre compte, vous êtes plus susceptible de le rencontrer lorsque vous vous connectez à partir d'un nouvel appareil ou depuis un emplacement différent qu'auparavant. Vous saisirez votre nom d’utilisateur et votre mot de passe comme d’habitude, puis vous devrez prouver votre identité en saisissant un deuxième formulaire de vérification que vous seul pouvez fournir.

Toutes les méthodes de vérification d’un utilisateur ne sont pas égales. Depuisdu plus sécurisé au moins sécurisé :

  • UNdispositif d'authentification matériellecomme une clé de sécurité YubiKey ou Titan. Ce sont des périphériques USB que vous devez brancher sur votre appareil pour vous connecter.
  • Unapplication d'authentificationcomme Google Authenticator ou Authy. Ces applications génèrent des codes PIN temporaires sur votre smartphone.
  • UNanalyse biométriquecomme un scan du visage, des empreintes digitales ou de la rétine. La sécurité des analyses biométriques varie considérablement en fonction de la méthode utilisée, de la qualité du logiciel d'authentification et du matériel utilisé pour la saisie.
  • UNNuméro PIN envoyé par SMSà votre téléphone. Les SMS ne sont pas cryptés et sont vulnérables aux attaques par échange de carte SIM, ils sont donc considérés comme moins sécurisés.
  • UNNuméro PIN envoyé par email. Cette option est la moins sécurisée car les comptes de messagerie sont souvent accessibles de n'importe où, contrairement aux autres méthodes qui nécessitent la présence d'un appareil spécifique. De plus, les e-mails ne sont pas cryptés.

Même si votre compte prend en charge 2FA, il se peut qu'il ne soit pas activé par défaut. En effet, un processus d'inscription est requis pour configurer 2FA pour chaque site. Sans ce processus d’inscription, les utilisateurs seraient tout simplement exclus de leur compte. Vous souhaiterez approfondir les paramètres de sécurité ou de connexion de votre compte et espérer trouver les paramètres 2FA.

Authentification à deux facteurs des messages SMS (texte)

netflix sms 2fa

L’avantage de l’utilisation de la méthode SMS est qu’elle est presque universelle et qu’elle est liée à votre carte SIM et non à votre téléphone. Presque tous les téléphones mobiles acceptent les messages texte, même les téléphones « stupides » sur lesquels aucune application n’est installée. Si vous changez de téléphone ou si votre téléphone est endommagé ou perdu, vous pouvez simplement insérer votre carte SIM dans un autre téléphone et vous êtes prêt à partir.

Le principal inconvénient est que pour que les messages SMS puissent passer, vous devez être à portée du réseau cellulaire. De plus, les voyageurs internationaux peuvent avoir des problèmes avec la méthode SMS s'ils changent de carte SIM dans différents pays, car chaque carte SIM aurait un numéro de téléphone différent.

Un inconvénient plus avancé du SMS 2FA est qu’il n’est pas très difficile pour les méchants d’infiltrer le système SMS et d’intercepter les codes, ou d’utiliser l’ingénierie sociale pour appeler votre opérateur de téléphonie mobile et faire attribuer votre numéro à leur carte SIM. Ce type d’actes malveillants est généralement réservé aux personnes qui sont délibérément ciblées par un attaquant plutôt que par une attaque normale. Aucune mesure de sécurité ne peut faire grand-chose pour vous si vous avez attiré l’attention de méchants sophistiqués comme celui-là.

Applications d'authentification à deux facteurs

Authentificateur authentique

Il existe une variété d’applications 2FA sur le marché. Le plus populaire est Google Authenticator, mais des concurrents comme Authy et LastPass proposent également des applications 2FA. Ce type de fragmentation des produits ne contribue en rien à l’adoption du 2FA, car les entreprises doivent passer du temps à décider quelle plateforme 2FA utiliser. Les clients doivent également être prêts à installer une autre application 2FA sur leur téléphone si un service utilise une plate-forme 2FA différente des autres.

Le plus grand avantage des applications 2FA est qu’elles n’ont besoin d’aucun type de connectivité Internet ou cellulaire pour fonctionner. Ils affichent simplement les codes nécessaires selon les besoins. L’inconvénient des applications 2FA est que si vous perdez ou endommagez votre téléphone au point que vous ne pouvez pas en obtenir un code, vous aurez du mal à accéder à votre compte.

Un autre petit inconvénient des applications 2FA est que chaque service doit être configuré individuellement. Cela signifie normalement qu'il vous suffit de scanner un code-barres QR avec l'application, mais cela peut être plus complexe pour certaines implémentations en entreprise.

Les meilleurs services proposent à la fois des SMS et des applications 2FA, mais ces services sont rares.

Au fait, qu’est-ce que l’authentification ?

Pour que vous puissiez accéder à quelque chose comme votre courrier électronique, le système de messagerie doit être satisfait de deux choses. Je les ai décrits plus en détail dans le glossaire à la fin, mais la vue générale est la suivante :

Authentification; parfois abrégé AuthN, signifie que vous êtes celui que vous prétendez être.

Autorisation; parfois abrégé AuthZ, signifie que vous êtes autorisé à lire votre courrier électronique.

Quelle est la différence entre l’authentification à deux facteurs et la vérification en deux étapes ?

coinbase 2sv

De nombreux étudiants en informatique et philosophes en débattraient jusqu’aux petites heures du matin et, même s’il existe une différence subtile, dans la pratique, elle n’est pas très grande.

Le principal point de friction est qu’il n’y a pas de concept de « vérification » dans le langage de l’authentification/autorisation. Nous avons l'authentification et nous avons l'autorisation. L’introduction du terme ambigu « vérification » peut prêter à confusion quant à la différence entre ce qu’une personne sait et ce qu’elle possède.

De plus, que signifie la vérification ? Cela signifie-t-il que la personne a été identifiée (AuthN) ou cela signifie-t-il que la personne est autorisée à accéder à une ressource (AuthZ) ? Nous avons déjà des mots adéquats pour ces concepts.

Un point secondaire de confusion vient de la distinction entre ce qu’une personne possède et ce qu’elle sait. À première vue, il est facile de penser que quelque chose comme un deuxième facteur biométrique qui utilise une empreinte digitale constitue quelque chose que l'utilisateur possède (ilsavoirleur empreinte digitale). Mais l’utilisation des empreintes digitales comme mécanisme de déverrouillage du téléphone a été débattue au sein du système judiciaire américain. Certains juges estiment qu'une empreinte digitale est un témoignage implicite et le témoignage est quelque chose que quelqu'un connaît, pas quelque chose qu'il possède.

Ces deux concepts relèvent deAuthentification multifacteur(MFA) et les deux nécessitent que vous ayez autre chose qu’un mot de passe. Peu importe qu’il s’agisse d’une empreinte digitale, d’une séquence numérique unique ou d’une Yubikey.

Pourquoi avons-nous besoin d’autre chose que des mots de passe ?

Authentificateur d

Les noms d’utilisateur sont généralement assez faciles à découvrir ; dans de nombreux cas, il s’agit simplement de notre adresse e-mail très médiatisée ou, dans le cas des forums, du nom d’affichage que tout le monde peut voir. Cela signifie que la seule véritable protection dont vous disposez contre quelqu’un qui se connecte comme vous est la force de votre mot de passe.

Il existe trois manières principales pour les méchants d'obtenir votre mot de passe. La première consiste simplement à le deviner. Vous pensez peut-être que cela a très peu de chances de réussir, mais malheureusement, de nombreuses personnes utilisent des mots de passe terriblement faibles. Je vois beaucoup de mots de passe dans ma vie professionnelle quotidienne et il y a beaucoup trop de Chucks dans le monde avec le mot de passe chuck123.

La deuxième façon consiste à utiliser un attaque de dictionnaire . La majeure partie des mots de passe restants pour les milliards de comptes dans le monde sont composés de quelques milliers de mots. Les méchants lancent des attaques par dictionnaire contre des sites en sachant que la plupart des comptes de ce site utiliseront l'un de ces mots de passe courants.

La troisième façon consiste à voler les données. Les violations de données exposent souvent les mots de passe stockés sur les serveurs de l'entreprise.

Les sites et les systèmes qui utilisent 2FA nécessitent undeuxième facteuren plus de votre mot de passe pour vous connecter. À première vue, cela peut paraître idiot. Si les mots de passe sont si facilement compromis, quelle valeur le simple ajout d’un deuxième mot de passe peut-il apporter ? C’est une bonne question à laquelle répond la 2FA. Dans la plupart des cas, 2FA prend la forme d’un code numérique qui change toutes les minutes ou ne peut être utilisé qu’une seule fois. Par conséquent, quelqu’un qui parvient à obtenir votre mot de passe ne pourra pas se connecter à votre compte à moins qu’il n’ait également réussi à obtenir votre code 2FA actuel.

De cette manière, 2FA supprime la fragilité humaine liée à la création de mots de passe faibles et à leur réutilisation dans tous les services. Il protège également contre le vol des données de compte, car même si le méchant parvient à voler tous les noms d'utilisateur et mots de passe d'un site, il ne pourra toujours pas se connecter à aucun de ces comptes sans ce code 2FA essentiel pour chaque utilisateur.

Pourquoi est-ce que je souhaite utiliser l’authentification à deux facteurs ?

Jetons RSA-SecurID

Considérez que la plupart des piratages de mots de passe se produisent sur Internet. Une analogie datée, mais utilisable, est celle d’un vol de banque. Avant Internet, braquer une banque était très difficile. Vous deviez constituer une équipe, enquêter sur la banque pour trouver le meilleur moment pour la cambrioler, obtenir des armes et des déguisements, puis effectuer le vol sans vous faire prendre.

Aujourd’hui, le même braqueur de banque peut s’installer partout dans le monde et tenter de forcer votre compte bancaire en ligne sans même que vous vous en rendiez compte. S’il ne parvient pas à accéder à votre compte, il passe simplement au suivant. Il n’y a pratiquement aucun risque de se faire prendre et cela ne nécessite pratiquement aucune planification.

Avec l’introduction du 2FA, ce braqueur de banque n’a pratiquement aucune chance de réussir. Même s'il devinait correctement votre mot de passe, il devrait monter dans un avion, vous retrouver et voler votre appareil 2FA pour y entrer. Une fois qu'un obstacle physique est introduit dans une séquence de connexion, cela devient beaucoup plus difficile pour vous. le méchant pour réussir.

2FA exige que vous fournissiez deux choses : quelque chose que vous connaissez et quelque chose que vous possédez. Ce que vous connaissez, c'est votre mot de passe. Ce que vous avez est le code numérique. Étant donné que le code numérique change très fréquemment, quiconque est en mesure de fournir le code correct à tout moment est presque assurément en possession du dispositif générateur de code. La 2FA s’avère très résistante aux attaques de mots de passe par force brute, ce qui est une bonne nouvelle. La mauvaise nouvelle est le taux d’adoption très lent. Chaque service individuel doit décider de mettre en œuvre la 2FA – ce n’est pas quelque chose que vous pouvez décider vous-même d’utiliser sur chaque site. Alors qu’un nombre toujours croissant de sites prennent désormais en charge 2FA, beaucoup d’autres ne le font pas. Étonnamment, les sites très critiques comme les sites bancaires et gouvernementaux ont mis beaucoup de temps à adopter la 2FA.

En rapport: Qu'est-ce qu'une attaque par force brute

Authentification à deux facteurs en entreprise

Le 2FA a un meilleur taux d’adoption dans les entreprises que dans les services publics. De nombreuses entreprises qui ont des travailleurs à distance ont fortement mis en œuvre la 2FA. Le mécanisme 2FA le plus courant et le plus mature pour les entreprises est le RSA SecurID. Il existe depuis des années et peut être installé sous forme d'application ou fourni sous forme de dongle matériel, un peu comme une clé USB avec un écran affichant le code. Okta est un autre concurrent sérieux de nos jours. Okta a commencé à se concentrer sur l'authentification unique (SSO), ce qui signifie que les utilisateurs ne doivent se connecter qu'une seule fois et peuvent ensuite accéder à de nombreux services tiers. De nombreuses entreprises utilisent largement le SSO et, maintenant qu'Okta propose 2FA, celui-ci devient de plus en plus populaire.

Glossaire

Authentification (AuthN): Vous êtes celui que vous prétendez être. C'est là que votre nom d'utilisateur et votre mot de passe entrent en jeu. Quiconque présente ces deux choses est considéré comme étant vous. Cependant, le simple fait d’être authentifié ne signifie pas que vous serez autorisé à lire votre courrier électronique.

Autorisation (AuthZ): Une fois que vous êtes authentifié (le système sait qui vous êtes), il peut alors déterminer à quoi vous êtes autorisé à accéder. Dans le cas de la connexion à votre messagerie électronique, vous n’êtes en réalité là qu’une seule chose à faire. Mais considérons un scénario de bureau dans lequel vous pouvez lire certains lecteurs réseau partagés, mais pas d’autres. C’est la couche AuthZ qui détermine ce que vous êtes autorisé à faire, mais elle ne peut le faire que lorsque vous êtes probablement authentifié.

L'utilisation de 2FA est une très bonne mesure de sécurité et vous devriez envisager de l'activer partout où vous le pouvez. Le Site Two Factor Auth.org a un projet intéressant qui tente de répertorier les entreprises qui prennent en charge 2FA et fournit un moyen simple de faire honte publiquement aux entreprises qui ne le font pas. Si un service que vous utilisez actuellement ne prend pas en charge 2FA, vous pourrez peut-être trouver un autre service qui le prend en charge.

Voir également:Vérificateur de force de mot de passe, une façon amusante de vérifier la qualité de votre mot de passe (des clauses de non-responsabilité s'appliquent !).

^