Pourquoi est-il judicieux d’utiliser des applications d’authentification pour une sécurité multifacteur

by · October 18, 2022

Pourquoi est-il judicieux d’utiliser des applications d’authentification pour une sécurité multifacteur

Les applications génèrent des codes à court terme qui peuvent être utilisés avec un mot de passe. Cela peut être plus sûr que de vous envoyer des codes.

Par Yaël Grauer

Dans un monde plein de violations de données, avoir un mot de passe fort n’est pas toujours suffisant pour protéger vos informations personnelles et financières. C’est pourquoi les experts en sécurité recommandent de protéger vos comptes avec une autre couche de défense, à savoir l’authentification multifacteur (également appelée authentification à deux facteurs). Mais de nombreuses personnes qui utilisent l’authentification multifacteur (MFA) ne l’utilisent peut-être pas de la manière la plus sécurisée, selon les experts en sécurité.

Lorsque vous activez MFA, qui est disponible pour les sites Web financiers, les médias sociaux et bien d’autres, vous avez besoin d’un facteur supplémentaire en plus de votre mot de passe pour vous connecter. De cette façon, si un pirate obtient votre mot de passe, il ne pourra toujours pas accéder à votre compte. La façon la plus courante d’utiliser MFA est probablement que le site vous envoie un message texte avec un code que vous entrez dans une boîte de dialogue.

Mais de nombreux experts en sécurité disent qu’il existe une meilleure option : passer à une application d’authentification, qui utilise un algorithme lié à votre appareil pour générer en continu des codes numériques qui expirent toutes les 30 secondes.

Contrairement aux applications d’authentification, les messages texte reposent sur votre numéro de téléphone, qui est plus vulnérable aux attaques criminelles. Un attaquant déterminé peut persuader une compagnie de téléphone de rediriger le numéro de téléphone de quelqu’un d’autre vers une nouvelle carte SIM sur son propre appareil dans ce qu’on appelle l’échange de carte SIM ou la prise de carte SIM. Ils peuvent alors intercepter les messages dirigés vers ce numéro de téléphone.

“Le changement de carte SIM est évidemment un risque”, déclare Leigh Honeywell, PDG et co-fondateur de Tall Poppy, une entreprise sociale qui crée des outils et des services pour aider les entreprises à protéger leurs employés contre le harcèlement et les abus en ligne. Mais, dit-elle, d’autres problèmes peuvent survenir.

“Les problèmes qui surviennent le plus souvent sont que vous perdez votre emploi et que votre téléphone se déconnecte, ou que vous avez un forfait familial et que vous avez un conflit avec un membre de la famille qui est l’administrateur du forfait”, dit-elle. “Les numéros de téléphone finissent par être une partie très folle de l’écosystème de sécurité qui va bien au-delà de l’extrémité très pointue de la lance qu’est l’échange de cartes SIM.”

Et la MFA basée sur les SMS n’est pas disponible si vous n’avez pas de signal téléphonique parce que, par exemple, vous voyagez à l’étranger.

Pour configurer l’authentification multifacteur à l’aide d’une application, vous téléchargez l’application, puis utilisez un navigateur Web sur votre ordinateur de bureau ou portable pour accéder à chacun de vos comptes en ligne. Vous devez généralement scanner un code QR avec l’appareil photo de votre téléphone. Ensuite, l’application générera et gardera une trace de vos jetons – les codes temporaires pour chaque compte. (Ceux-ci sont également appelés mots de passe à usage unique basés sur le temps, ou TOTP, car ils changent toutes les 30 ou 60 secondes.) Lorsque vous devez vous connecter à un compte, vous entrez votre mot de passe, puis ouvrez l’application d’authentification pour obtenir le code dont vous avez besoin pour MFA.

See also  Octobre sera le pire mois pour la criminalité liée à la cryptographie

Les applications suivantes ont une bonne réputation parmi les experts en sécurité, bien que les experts individuels aient leurs favoris personnels. Vous pouvez également utiliser un gestionnaire de mots de passe pour MFA, comme décrit ci-dessous.

Authy

Prix: Libre

Authy, propriété de Twilio, est disponible pour Android et iOS, ainsi que pour les ordinateurs de bureau et portables. Il offre une sécurité cloud cryptée et une prise en charge d’un appareil secondaire, tel qu’un ordinateur portable, une tablette ou même un autre téléphone. Les experts en sécurité ne sont pas d’accord sur la question de savoir si c’est une bonne idée ; vous êtes légèrement plus susceptible de rencontrer des problèmes car les jetons se trouvent sur plusieurs appareils. Mais cela facilite la récupération des jetons si vous perdez votre téléphone ou si vous en obtenez un nouveau. Il vous suffit d’ajouter le nouvel appareil à votre compte et de désactiver l’ancien appareil. Authy utilise de grandes icônes pour chaque banque ou autre compte que vous ajoutez, ce qui facilite la recherche de celui dont vous avez besoin. Bien que certains sites ne mentionnent que la prise en charge de Google Authenticator, Authy peut être utilisé à la place.

Duo mobile

Prix: Libre

Duo Mobile, propriété de Cisco, s’adresse principalement aux utilisateurs professionnels, mais il offre également une option d’authentification multifacteur gratuite pour les particuliers disponible sur les appareils Android et iOS. Comme Authy, il peut être utilisé à la place de Google Authenticator. Comme Authy, Duo Mobile utilise des icônes pour chaque compte, ce qui facilite la recherche de celui que vous recherchez. Bien qu’il ne soit pas possible d’ajouter un appareil secondaire à un compte Duo Mobile gratuit, la société vous permet de sauvegarder des jetons sur iCloud ou Google Drive avec un mot de passe de récupération. Lorsque vous obtenez un nouveau téléphone, téléchargez l’application et restaurez les jetons à partir du cloud pour commencer à utiliser Duo Mobile sur le nouvel appareil.

Authentificateur Google

Prix: Libre

Google Authenticator, disponible pour les appareils Android et iOS, peut être utilisé avec de nombreux comptes en ligne différents. Comme mentionné ci-dessus, un site Web peut indiquer qu’il est compatible avec Google Authenticator et ne pas mentionner plus d’options, mais vous pourrez toujours utiliser l’une des autres applications. Google Authenticator n’a pas d’icônes distinctes pour chaque compte, vous devrez donc peut-être faire un peu plus de défilement et de lecture pour trouver les jetons dont vous avez besoin. Si vous obtenez un nouveau téléphone, téléchargez l’application et scannez un code QR depuis l’application sur votre ancien téléphone pour transférer tous les jetons. (Jusqu’à récemment, cela ne fonctionnait que pour les téléphones Android ; les utilisateurs d’iPhone devaient scanner un code QR distinct pour chaque compte. Mais ce processus fastidieux a maintenant été corrigé.)

See also  Uber nomme Hacking Group responsable de cyberattaques

Authentification OTP

Prix: Freemium (Gratuit ou 4 $)

OTP Auth n’est disponible que pour les appareils iOS, mais si vous êtes un utilisateur Apple, vous pouvez profiter de certaines fonctionnalités intéressantes. Il vous permet de créer des sauvegardes cryptées de tous vos comptes et de les importer ou de les exporter à l’aide d’AirDrop, Dropbox, iCloud ou Mail. Vous pouvez créer des dossiers personnalisés pour organiser vos comptes, ce qui peut être très utile si vous souhaitez les organiser. (Par exemple, vous pouvez mettre tous les mots de passe à usage unique liés au travail dans un seul dossier et créer un dossier pour les mots de passe d’un site Web ou d’un projet spécifique.) L’application vous permet de scanner un code-barres avec un appareil photo ou à partir d’une capture d’écran, facilitant la configuration même si vous n’avez pas deux appareils. Et si vous payez 4 $, vous obtenez des fonctionnalités supplémentaires, comme la possibilité de personnaliser les icônes de vos comptes enregistrés.

Stocker les jetons MFA dans un gestionnaire de mots de passe

Le moyen le plus important de protéger les comptes en ligne est d’avoir un mot de passe fort et unique pour chacun, et pour cela, de nombreux experts en sécurité disent que vous devriez utiliser un gestionnaire de mots de passe. Consumer Reports teste les gestionnaires de mots de passe, et un certain nombre d’entre eux peuvent également servir d’applications d’authentification.

“Pour la personne moyenne, il serait logique d’utiliser votre gestionnaire de mots de passe pour stocker vos jetons”, déclare Honeywell de Tall Poppy.

Les meilleurs gestionnaires de mots de passe de Consumer Reports – 1Password, Bitwarden et Keeper – offrent cette option. Par exemple, si vous utilisez 1Password, sélectionnez simplement la catégorie “mots de passe” dans l’application, entrez le nom du compte que vous configurez et cliquez sur le signe plus à côté de “ajouter un nouveau mot de passe à usage unique”. (Comme nous l’avons vu ci-dessus, un jeton est également appelé mot de passe à usage unique basé sur le temps, ou TOTP.)

Si vous êtes un utilisateur d’iPhone, vous pouvez même configurer votre téléphone pour qu’il copie automatiquement les mots de passe à usage unique dans votre presse-papiers lorsque vous sélectionnez une connexion pour AutoFill.

Et si vous perdez votre téléphone ?

Être banni d’un compte central de votre vie numérique peut être presque aussi désastreux que de voir votre compte piraté par un attaquant. Mais si vous avez configuré MFA (ce que vous devriez) et que vous utilisez une application d’authentification (une bonne idée), que se passe-t-il si vous perdez votre téléphone ?

Les comptes en ligne vous offrent des options pour déverrouiller votre compte, mais il est difficile de suivre ce processus un compte à la fois.

See also  Les pirates qui ciblent les joueurs en ligne et prennent le contrôle des comptes pour accéder aux informations financières

Certaines applications d’authentification vous permettent d’imprimer ou d’enregistrer une liste de codes de sauvegarde à usage unique à utiliser si vous perdez l’accès à l’application d’authentification ou à votre téléphone. Chaque code ne peut être utilisé qu’une seule fois. Vous voulez les garder en sécurité mais accessibles.

Alors que certains experts en sécurité pensent que le stockage d’une liste de jetons est dangereux, Honeywell affirme que cette pensée est un cauchemar de sécurité pour la personne moyenne. “Il n’est pas nécessaire d’obliger les gens à réinitialiser à nouveau leurs clés TOTP et cela conduit à verrouiller les gens de leur compte”, dit-elle.

Une autre option : les clés de sécurité

Les applications d’authentification ne vous empêchent pas d’entrer accidentellement votre code sur un site Web faux ou frauduleux conçu pour voler vos informations d’identification.

“Tout comme quelqu’un peut essayer de vous inciter à saisir votre mot de passe sur une fausse page de connexion, il peut également vous inciter à saisir votre mot de passe à usage unique”, explique Martin Shelton, chercheur principal à la Freedom of the Press Foundation. “S’ils peuvent vous faire entrer dans cet OTP au bon moment et en utilisant cette application d’authentification, TOTP est toujours hameçonnable.” Il recommande aux personnes qui pensent qu’elles courent un risque élevé d’être piratée d’acheter plutôt une clé de sécurité physique comme le Yubikey, qui offre une protection contre les attaques de phishing.

N’oubliez pas non plus que vos jetons MFA sont aussi sécurisés que les appareils sur lesquels vous les avez, alors assurez-vous d’utiliser de bons mots de passe ou codes d’accès pour votre téléphone, tablette et ordinateur portable, et installez les mises à jour de sécurité lorsqu’elles seront disponibles.

Envisagez de conserver une copie hors site

C’est une bonne idée de conserver une copie supplémentaire des impressions du code de récupération ou d’une clé de sécurité associée à votre compte de messagerie principal quelque part en dehors de votre domicile, en cas d’incendie ou d’autre urgence, explique Honeywell. Vous pouvez le mettre dans un coffre-fort ou un tiroir verrouillé au travail, ou le laisser à un ami de confiance ou à un membre de la famille. Si aucune de ces options n’est possible, vous pouvez utiliser un sac à documents ignifugé ou ignifuge dans votre maison.

Plus de Consumer Reports :
Pneus de premier choix pour 2016
Meilleures voitures d’occasion pour 25 000 $ et moins
7 meilleurs matelas pour les couples

Consumer Reports est une organisation indépendante à but non lucratif qui travaille aux côtés des consommateurs pour créer un monde plus juste, plus sûr et plus sain. CR n’approuve pas les produits ou services et n’accepte pas la publicité. Copyright © 2022, Consumer Reports, Inc.

Related posts:

  1. Un anonyme a piraté l’application de taxi russe Yandex, provoquant d’énormes embouteillages
  2. Comment le MDM peut être essentiel au maintien de la sécurité des données pour HIPAA
  3. La blockchain liée à Binance piratée pour 570 millions de dollars
  4. Le fondateur de Telegram appelle WhatsApp un “outil de surveillance” avec des “portes dérobées plantées”

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *