Avant d’aborder la question « qu’est-ce que l’authentification à deux facteurs », considérons pourquoi il est important de faire tout ce que vous pouvez pour améliorer la sécurité de vos données en ligne.
Avec une grande partie de notre vie sur les appareils mobiles, il n’est pas étonnant que nos comptes numériques soient devenus un aimant pour les criminels.
Les attaques malveillantes contre les gouvernements, les entreprises et les individus sont de plus en plus courantes. Et rien n’indique que les hacks, les violations de données et d’autres formes de cybercriminalité ralentissent !
Heureusement, il est facile pour les entreprises d’ajouter un niveau de protection supplémentaire aux comptes d’utilisateurs.
Cela prend la forme d’une authentification à deux facteurs, également appelée 2FA.
La montée de la cybercriminalité nécessite une sécurité renforcée avec 2FA
Ces dernières années, nous avons assisté à une augmentation massive du nombre de sites Web perdant les données personnelles de leurs utilisateurs.
Et comme la cybercriminalité devient plus sophistiquée, les entreprises trouvent que leurs anciens systèmes de sécurité ne sont pas à la hauteur des menaces et des attaques modernes.
Parfois, c’est une simple erreur humaine qui les a exposés. Et ce n’est pas seulement la confiance des utilisateurs qui peut être endommagée.
Tous les types d’organisations – entreprises mondiales, petites entreprises, start-ups et même organisations à but non lucratif – peuvent subir de graves pertes financières et de réputation.
Pour les consommateurs, les séquelles d’un piratage ciblé ou d’un vol d’identité peuvent être dévastatrices.
Les informations d’identification volées sont utilisées pour sécuriser de fausses cartes de crédit et financer des achats, ce qui peut causer d’importants problèmes financiers.
De toute évidence, les sites et applications en ligne doivent offrir une sécurité renforcée.
Et, dans la mesure du possible, les consommateurs devraient prendre l’habitude de se protéger avec quelque chose de plus fort qu’un simple mot de passe.
Pour beaucoup, ce niveau de sécurité supplémentaire est l’authentification à deux facteurs.
Mots de passe : mauvais mais toujours utilisés
Les noms d’utilisateur et les mots de passe restent la forme d’authentification la plus courante.
La règle générale est qu’un mot de passe doit être quelque chose que vous seul connaissez tout en étant difficile à deviner pour quiconque.
Et bien qu’il soit préférable d’utiliser des mots de passe que de n’avoir aucune protection, ils ne sont pas infaillibles.
Voici pourquoi :
- Les humains ont une mauvaise mémoire : un rapport récent a examiné plus de 1,4 milliard de mots de passe volés et a constaté que la plupart étaient d’une simplicité embarrassante. Parmi les pires figurent «111111», «123456», «123456789», «qwerty» et «mot de passe». Bien que ceux-ci soient faciles à retenir, tout pirate décent pourrait casser ces mots de passe simples en un rien de temps.
- Trop de comptes : à mesure que les utilisateurs sont plus à l’aise pour tout faire en ligne, ils ouvrent de plus en plus de comptes. Cela crée finalement trop de mots de passe à retenir et ouvre la voie à une habitude dangereuse : le recyclage des mots de passe. Si une paire nom d’utilisateur / mot de passe est recyclée, il est fort probable qu’elle débloquera de nombreux autres accès.
2FA à la rescousse
2FA est une couche de sécurité supplémentaire utilisée pour s’assurer que les personnes qui tentent d’accéder à un compte en ligne sont bien ce qu’elles prétendent être.
Tout d’abord, un utilisateur entrera son nom d’utilisateur et un mot de passe.
Ensuite, au lieu d’accéder immédiatement, il devra fournir une autre information. Ce deuxième facteur pourrait provenir d’une des catégories suivantes :
- Quelque chose que vous savez : il peut s’agir d’un numéro d’identification personnel (PIN), d’un mot de passe, de réponses à des «questions secrètes» ou d’un schéma de frappe spécifique.
- Quelque chose que vous avez : généralement, un utilisateur a quelque chose en sa possession, comme une carte de crédit ou un smartphone.
- Vous : cette catégorie est un peu plus avancée et peut inclure le motif biométrique d’une empreinte digitale, d’un balayage d’iris ou d’une empreinte vocale
Avec l’authentification à deux facteurs un seul de ces facteurs ne débloquera pas le compte.
Ainsi, même si votre mot de passe est volé ou votre téléphone est perdu, les chances qu’une autre personne ait vos informations de deuxième facteur sont très improbables.
En regardant les choses sous un autre angle, si un consommateur utilise correctement 2FA, les sites Web et les applications peuvent être plus sûrs de l’identité de l’utilisateur et déverrouiller le compte.
Types courants de 2FA
Si un site que vous utilisez ne nécessite qu’un mot de passe pour entrer et n’offre pas 2FA, il y a de fortes chances qu’il soit finalement piraté.
Cela ne signifie pas que tous les 2FA sont identiques. Plusieurs types d’authentification à deux facteurs sont utilisés aujourd’hui.
Certains peuvent être plus forts ou plus complexes que d’autres, mais tous offrent une meilleure protection que les mots de passe seuls. Examinons les formes les plus courantes de 2FA.
SMS
Le 2FA basé sur SMS interagit directement avec le téléphone d’un utilisateur.
Après avoir reçu un nom d’utilisateur et un mot de passe, le site envoie à l’utilisateur un mot de passe unique (OTP) par message texte. L’utilisateur doit ensuite saisir à nouveau l’OTP dans l’application avant d’obtenir l’accès.
Pour une activité en ligne à faible risque, l’authentification par sms peut être tout ce dont vous avez besoin.
Mais pour les sites Web qui stockent vos informations personnelles – comme les entreprises de services publics, les banques ou les comptes de messagerie – ce niveau de 2FA peut ne pas être suffisamment sécurisé.
En fait, le SMS est considéré comme le moyen le moins sûr d’authentifier les utilisateurs. Pour cette raison, de nombreuses entreprises améliorent leur sécurité en allant au-delà de la 2FA basée sur SMS.
Notification push pour 2FA
Les sites Web et les applications peuvent désormais envoyer à l’utilisateur une notification push lorsqu’une tentative d’authentification a lieu.
Le propriétaire de l’appareil affiche simplement les détails et peut approuver ou refuser l’accès d’une simple pression.
Il s’agit d’une authentification sans mot de passe, sans code à saisir et sans interaction supplémentaire requise.
En ayant une connexion directe et sécurisée entre le revendeur, le service 2FA et l’appareil, la notification push élimine toute possibilité de phishing, d’attaques man-in-the-middle ou d’accès non autorisé.
A propos de l'auteur : Florian Pradines
Florian Pradines est dirigeant et fondateur de la société ArcanSecurity, éditrice de la solution d'achat en 1-clic Skeerel.
Plus d'articles de Florian Pradines