À ce stade, j'espère que vous savez que l'authentification à deux facteurs (2FA) est un must absolu pour rester en sécurité sur Internet. En configurant vos comptes pour exiger un code supplémentaire et sensible au temps lorsque vous vous connectez, vous vous protégez contre le fléau constant et croissant des fuites de mot de passe généralisées.

Mais si deux facteurs sont importants, il existe un bon moyen de le faire et un mieux façon de le faire. La plupart des services en ligne vous guideront sur un chemin où vous recevrez un code de vérification par SMS, mais ce n'est pas aussi infaillible que vous pouvez le croire.

Nous avons discuté avec Nabeel Saeed, qui travaille sur la formidable application de sécurité Authy – disponible sur Android et iOS – pour savoir pourquoi faire un effort supplémentaire pour utiliser une application d'authentification en vaut la peine.

2FA est essentiel et vous devez absolument l'activer.

Lorsque vous vous connectez à Twitter ou Facebook et que vous saisissez soigneusement votre mot de passe, vous effectuez quelque chose qui pourrait être décrit comme une authentification à un facteur. Vous prouvez que vous êtes bien ce que vous dites être en partageant un secret que vous seul devez connaître en théorie: votre mot de passe. Bien que si vous avez déjà été piraté, vous savez que ce n'est pas toujours le cas.

Avec deux-authentification par facteur, vous ajoutez une complication supplémentaire qui empile le jeu en votre faveur. «Il fournit simplement une deuxième couche de sécurité supplémentaire», explique Saeed. "Nous pouvons donc avoir un peu plus d'assurance que la personne n'est pas seulement un robot qui se nourrit d'une base de données d'informations de connexion."

Un deuxième facteur peut être un certain nombre de choses. Cela peut être quelque chose que vous sont, ce que vous fournissez si vous vérifiez votre identité à l'aide d'une empreinte digitale ou d'un scanner rétinien. Ou cela peut être quelque chose que vous possédez, comme une clé physique. Dans le cas de la 2FA basée sur SMS, vous prouvez que vous possédez votre téléphone en fournissant le code spécial qui lui est remis.

Sauf quand vous ne l'êtes pas.

Les SMS sont loin d'être sécurisés.

«Donc, la plupart des gens utilisent les SMS aujourd'hui, car ils ne nécessitent aucun téléchargement», explique Saeed. "Mais le SMS est sensible à l'homme dans les attaques de type moyen."

Le con fonctionne comme ceci: j'ai votre mot de passe et je veux pénétrer dans votre compte, mais vous avez 2FA basé sur SMS. Et maintenant? Eh bien, je découvre votre numéro de téléphone et votre fournisseur de services, j'appelle la ligne d'assistance en faisant semblant d'être vous, je leur dis que j'ai perdu mon téléphone et qu'ils doivent changer le numéro pour un nouveau. Il s'agit d'une technique connue sous le nom de «échange de carte SIM».

Un son tiré par les cheveux? Ce n’est absolument pas le cas. «Un cas très médiatisé de cela s'est produit l'année dernière, explique Saeed. «Le PDG de Twitter Jack Dorsey a été piraté, son compte Twitter a été piraté parce que ses codes 2FA étaient envoyés par SMS.»

Vous pensez que vous êtes en sécurité juste parce que vous n'êtes pas une cible juteuse? Ce n'est pas tout à fait le cas non plus. Les SMS ne sont pas sécurisés par la nature même du réseau sur lequel ils sont envoyés. Des équipements quasi légaux spécialisés, connus pour être largement utilisés par les forces de l'ordre, peuvent générer des textes en masse. "Cela ne signifie pas qu'il ne nécessite même pas le type d'ingénierie sociale ou les" swaps de cartes SIM "les plus médiatisés sont sujets à", dit Saeed.

Les applications d'authentification sont plus sûres et fonctionneront sans Internet ni service.

Au lieu de vous envoyer un message secret que vous devez ensuite renvoyer immédiatement, les applications d'authentification fonctionnent en générant deux codes correspondants, un sur Twitter ou Instagram ou les serveurs de Gmail, un sur votre téléphone. En utilisant un numéro secret, l'application et le service partagés lors de la première configuration de 2FA, certaines informations accessibles au public telles que l'heure du jour et un peu de calcul, l'application et le service peuvent générer indépendamment un code sensible au temps identique sans jamais parler les uns aux autres pour le faire. Désormais, votre code ne peut pas être intercepté, car il est créé sur votre téléphone au lieu de lui être remis.

Et ce n'est pas le seul avantage. "Peu importe que votre appareil soit hors ligne", souligne Saeed. "Parce que rien n'est réellement transporté."

Les applications d'authentification sont également meilleures que les SMS.

Il existe une multitude d'applications d'authentification qui fonctionnent selon ce principe de base, y compris Google Authenticator, Microsoft Authenticator. Mais il y a quelques facteurs qui distinguent Authy. Le premier, et celui qui m'a attiré vers lui en premier lieu, est qu'il est indépendant de toute plate-forme géante technologique plus large.

«Nous avons utilisé notre taille relativement plus petite et notre concentration laser sur l'authentification à notre avantage pour innover beaucoup plus rapidement», explique Saeed. «Nous avons une énorme communauté de développeurs qui sont de grands fans de la nôtre.»

Il y a une raison d'utiliser Authy en plus juste pour prendre en charge une option tierce, et c'est son support pour la sauvegarde de compte. Un risque avec 2FA est que si vous perdez votre téléphone, vous pouvez être définitivement verrouillé sur les comptes qui lui sont liés. C'est quelque chose qui est arrivé à l'un des développeurs fondateurs d'Authy.

«Son téléphone a été volé. Et non seulement il n'avait pas accès à son téléphone, mais il avait vraiment réalisé qu'il ne pouvait plus accéder à aucun de ses comptes sociaux », explique Saeed.

En conséquence, Authy propose de regrouper tous vos comptes, de les sauvegarder dans le cloud et de les protéger avec un seul mot de passe fort. De cette façon, si vous perdez ou changez de téléphone, vous n'aurez aucun recours pour revenir dans vos comptes.

|

Eric Limer

Eric Limer est le rédacteur technique de Gear Patrol. Un résident de Weehawken, NJ, ses obsessions actuelles incluent les claviers mécaniques, les crayons mécaniques et la Formule 1.

Plus par Eric Limer | Suivez-nous sur Instagram · Contact par e-mail