https://bodybydarwin.com
Slider Image

Comment faire une authentification à deux facteurs comme un pro

2020

Si votre niveau d'inquiétude face à la sécurité et à la confidentialité en ligne est satisfaisant, vous disposez probablement déjà d'une authentification à deux facteurs (2FA) pour vos comptes principaux. Si vous ne le faites pas, vous devriez sérieusement envisager de l'activer pour vous protéger du phishing, des piratages et de toute personne susceptible de vouloir voler vos données.

Je ne sais pas de quoi je parle? Voici le 101: 2FA ajoute une couche de sécurité supplémentaire à vos comptes en ligne. Lorsqu'il est activé, ce protocole vous demandera autre chose que votre nom d'utilisateur et votre mot de passe chaque fois que vous vous connecterez à partir d'un nouvel appareil. Cela peut être un code, une clé ou accepter une invite sur votre smartphone. De cette façon, si quelqu'un obtient votre mot de passe, 2FA l'empêchera de se connecter à votre compte.

«C’est nettement mieux que de ne pas avoir de second facteur. Vous avez donné plus de travail à tous les assaillants, ”a déclaré Shuman Ghosemajumder, responsable de la technologie à Shape Security.

Mais décider d'activer 2FA, c'est comme décider de commencer à courir. Voulez-vous seulement courir un peu, vous entraîner pour un 5k ou vous mettre en forme pour un marathon entier? Un certain nombre d'options, notamment des applications et des clés de sécurité, fournissent différents niveaux de protection pour tous vos besoins en matière de sécurité et de confidentialité. Vous pouvez utiliser une seule méthode qui vous convient le mieux ou en utiliser plusieurs pour un même compte, en fonction de la plate-forme. Le choix t'appartient.

Les gens choisissent souvent d'utiliser 2FA via la messagerie texte (en particulier, le service de messages courts ou SMS), car c'est tellement pratique. Le processus est simple: vous vous connectez à votre compte avec votre nom d'utilisateur et votre mot de passe, vous recevez un texte avec un code, puis vous tapez ce code dans l'écran de connexion pour accéder à votre compte.

Le problème avec la messagerie texte est que, comme il s’agit de données qui transitent par une ligne téléphonique, elles peuvent être compromises et votre code à six chiffres intercepté. Vous savez comment changer de fournisseur de téléphone cellulaire tout en conservant votre numéro? C'est ce qu'on appelle un échange de carte SIM et vous pouvez en demander un en ne fournissant que votre numéro de téléphone et les quatre derniers chiffres de votre numéro de sécurité sociale. Grâce en partie aux pirates informatiques majeurs, Internet dispose actuellement d'une base de données de SSN bien entretenue, ce qui pourrait aider un voleur de compte à voler votre numéro de téléphone portable et à rediriger vos textes d'authentification vers un autre appareil.

C'est exactement ce qui s'est passé en 2018 lorsque les pirates ont accédé aux comptes des employés de Reddit via 2FA basé sur un SMS, compromettant les données de milliers d'utilisateurs de la plate-forme.

Si vous pensez que personne ne rencontrera jamais autant de problèmes pour voler vos données, détrompez-vous.

"C'est certainement quelque chose qui se produit, mais ce qui est encore plus facile, c'est d'utiliser simplement ce numéro de téléphone pour envoyer un message de phishing", explique Ghosemajumder.

C'est ce qu'on appelle smishing - un porte-monnaie de "SMS" et "phishing" - et c'est la version textuelle de ces courriels emails qui prétendent provenir de votre banque et vous invitent à cliquer sur un lien.

Néanmoins, le mode 2FA basé sur la messagerie texte est pratique et, quelles que soient ses vulnérabilités, il vaut mieux que rien du tout. Mais si vous stockez des données sensibles dans vos comptes ou si nous vous faisons simplement peur des messages texte, vous pouvez essayer d'autres méthodes plus sécurisées.

Les utilisateurs de Google peuvent demander à recevoir des invites leur demandant de confirmer la connexion à leur compte à partir d'un nouvel appareil. Ensuite, lorsque vous vous connectez avec votre nom d'utilisateur et votre mot de passe, une fenêtre contextuelle s'affiche sur votre téléphone pour vous demander si c'est vous qui avez essayé de vous connecter et si vous l'autorisez. Ces invites sont cryptées et passent par le réseau de Google. Elles risquent donc moins d'être compromises que les textes, ce qui les rend plus sûres.

Mais toutes les plates-formes n'offrent pas d'invites. C'est pourquoi une autre stratégie populaire pour 2FA consiste à utiliser des applications génératrices de code. Elles sont assez explicites: les applications génèrent des codes à six chiffres que vous pouvez utiliser pour vous connecter à vos comptes. Ces codes sont créés aléatoirement à l'aide du protocole de mot de passe à usage unique (TOTP), ce qui signifie qu'ils ne peuvent être utilisés qu'une seule fois et pour une durée limitée, généralement 30 secondes, avant d'être automatiquement remplacés par un autre. Les applications génératrices de code peuvent être pratiques car elles vous permettent de lier autant de comptes que vous le souhaitez, mais vous n'avez besoin que d'un seul endroit pour tous vos codes.

Une des applications les plus simples pour générer du code est Google Authenticator (disponible pour Android et iOS). Cela fonctionne non seulement avec les comptes Google, mais aussi avec toute autre plate-forme prenant en charge le générateur de code 2FA.

Si vous souhaitez une expérience plus personnalisable, vous pouvez opter pour des applications telles que AndOTP (disponible uniquement pour Android) ou Authy (également disponible pour iOS), qui vous permettent d'ajouter des étiquettes et des icônes comportant les logos de plusieurs plates-formes, afin que vous puissiez identifier les codes. en un coup d'oeil.

Pour plus de sécurité, vous pouvez protéger ces applications avec un code PIN ou, dans le cas d'Authy, votre empreinte digitale. Ainsi, même si quelqu'un vole votre téléphone et y accède, il ne peut toujours pas utiliser votre application générateur de code. Une autre fonctionnalité intéressante d'AndOTP et d'Authy est le «toucher pour révéler» qui cache tous vos codes et n'en révèle qu'un à la fois lorsque vous appuyez sur celui dont vous avez besoin. Cela peut être utile si vous accédez à l'un de vos comptes dans un lieu public où quelqu'un peut facilement regarder votre téléphone.

Pour utiliser une application génératrice de code sur Facebook, par exemple, accédez à Paramètres > Sécurité et connexion > Utiliser une authentification à deux facteurs > Application d'authentification . Facebook affichera ensuite un code QR que vous devrez scanner avec l'appareil photo de votre téléphone via l'application de génération de code lorsque vous ajouterez votre compte Facebook. Enfin, entrez le code fourni par l'application. Cela garantira que votre application est synchronisée avec Facebook.

À une époque où il semble parfois que rien ne soit mis en sécurité sur votre téléphone, le retour aux sources peut être une bonne idée. Si votre niveau d'anxiété de sécurité est aussi élevé, il existe plusieurs méthodes plus analogiques que vous pouvez utiliser avec 2FA pour vous permettre de mieux dormir la nuit.

L'option la plus simple consiste à obtenir une clé de sécurité, un tout petit périphérique USB que vous utiliserez de la même manière que les clés de votre appartement. Une fois que vous avez entré votre nom d'utilisateur et votre mot de passe sur un nouvel appareil, le protocole 2FA vous demandera de connecter votre clé de sécurité au port USB de l'appareil et de le taper une fois pour terminer votre connexion. Ces petits gadgets sont extrêmement utiles et exceptionnellement faciles à transporter. Connectez-les simplement à votre trousseau et vous les aurez toujours avec vous.

Les clés de sécurité les plus traditionnelles sur le marché sont compatibles avec les ports USB-A ou, comme vous le savez peut-être, avec les ports USB classiques à la bouche. Cela laisse immédiatement derrière les appareils mobiles tels que les smartphones et les tablettes, ainsi que les petits ordinateurs portables tels que le MacBook Air qui ne possèdent pas leurs propres ports USB-A. Il existe également sur le marché des clés de sécurité USB-C compatibles avec la plupart des appareils mobiles les plus récents, mais elles ont tendance à être un peu plus chères, allant de 40 à 60 dollars sur Amazon.

Il est courant que des personnes enregistrent plusieurs clés de sécurité pour un seul compte, explique Ghosemajumder. De cette façon, ils peuvent stocker une pièce de rechange dans un endroit sûr au cas où ils en perdraient une qu'ils utilisent régulièrement.

Si vous continuez à égarer vos clés de sécurité ou si vous ne souhaitez tout simplement pas en investir, votre téléphone Android peut servir de clé à votre compte Google. La société a annoncé cette nouvelle fonctionnalité en avril et permet aux utilisateurs d’utiliser leur smartphone pour confirmer les connexions via Bluetooth. Cela permettra de connecter votre téléphone à l'appareil auquel vous vous connectez et de vous assurer d'accéder à un site Web sécurisé.

Si cela ne vous convient toujours pas, vous pouvez toujours opter pour des codes de sauvegarde ou de récupération. Pris en charge par toutes les principales plates-formes, notamment Google, Apple, Facebook, Instagram et Twitter, cette méthode implique un ou plusieurs codes que vous pouvez sauvegarder dans un document ou copier sur un papier et emporter avec vous. Pour votre compte Google, par exemple, vous pouvez les trouver dans Compte > Sécurité > Vérification en deux étapes > Codes de sauvegarde . En général, ils sont répertoriés dans la section relative aux codes de récupération ou de sauvegarde dans les paramètres 2FA de la plupart des comptes.

Celles-ci sont limitées et vous ne pouvez les utiliser qu'une seule fois. Par conséquent, si vous manquez, vous devez vous reconnecter et en obtenir davantage. Les codes de sauvegarde ne sont pas conçus pour être utilisés à la place des invites ou des clés de sécurité, mais ils peuvent être très utiles dans des cas extrêmes, tels que lorsque vous voyagez et que vous n'avez pas votre téléphone ou votre clé de sécurité.

Comme vous pouvez le constater, il existe de nombreuses façons d’utiliser 2FA et vous pouvez choisir celle qui vous convient le mieux. Différentes plates-formes prennent en charge différentes méthodes. Vérifiez donc l'authentification à deux facteurs pour déterminer celles qui sont disponibles pour vos comptes.

N'oubliez pas que vous pouvez et devez autoriser plusieurs méthodes de 2FA. C'est toujours une bonne idée d'avoir une sauvegarde en cas de perte de votre téléphone ou de votre clé de sécurité, ou en cas de problème avec votre connexion. Rappelez-vous simplement que votre stratégie de sécurité sera aussi faible que la méthode 2FA la moins sécurisée que vous choisissez. Alors, choisissez judicieusement.

L'art du monde est attaqué - par des microbes

L'art du monde est attaqué - par des microbes

Il a été prouvé que ces techniques stimulent certaines fonctions cognitives

Il a été prouvé que ces techniques stimulent certaines fonctions cognitives

Les scientifiques tentent de déterminer quelles bactéries ont colonisé notre station spatiale

Les scientifiques tentent de déterminer quelles bactéries ont colonisé notre station spatiale