Authentification à deux facteurs: tout ce que vous devez savoir

Vous voyez beaucoup de discussions sur Internet à propos de l'authentification à deux facteurs (ou 2FA comme on l'appelle communément), mais la plupart du temps, ce sont juste des personnes comme nous qui vous disent de l'utiliser. Et nous allons continuer cette tendance et commencer cette prose en vous disant d’utiliser 2FA quand et où vous le pouvez. Mais nous allons également vous faire savoir ce que c'est et pourquoi il est essentiel que vous l'utilisiez. Continuer à lire.

Qu'est-ce que l'authentification à deux facteurs?

En termes simples, l'authentification à deux facteurs (2FA) signifie que vous devez présenter deux éléments différents provenant de deux sources différentes qui prouvent votre identité. En règle générale, trois types d’identités différents peuvent être utilisés à des fins 2FA en ce qui concerne les comptes en ligne:

• Une chose que vous seul devriez savoir. Des éléments tels qu'un mot de passe, un code PIN, un numéro de compte, votre adresse postale ou même les quatre derniers chiffres de votre numéro de sécurité sociale correspondent à la facture ici.
• Une chose que vous pouvez tenir dans vos mains. Cela signifie votre téléphone, une clé d'authentification ou une clé de sécurité USB.
• Une chose qui fait partie de vous, comme votre empreinte digitale, votre motif de rétine ou votre motif de voix.

Lorsque 2FA est activé sur un compte, vous avez besoin de deux de ces trois éléments pour pouvoir y accéder.

Vous avez utilisé 2FA pendant la majeure partie de votre vie adulte. Les entreprises qui traitent les paiements par carte de crédit pour les détaillants en ligne vous obligent généralement à entrer le code à trois chiffres au verso de votre carte de crédit, ainsi que le numéro de la carte, puis à fournir l'adresse de facturation. Les numéros figurant sur la carte (recto et verso) sont un moyen de vous assurer que vous avez la carte en votre possession pour la première méthode d'authentification. L'adresse que vous fournissez doit alors correspondre à ce que l'émetteur de la carte a enregistré dans son fichier. pour prouver qui vous êtes. C'est 2FA. À l’époque où le monde utilisait encore des chèques pour payer des objets, la plupart des entreprises souhaitaient disposer de deux formes d’identité physique provenant d’un endroit bien connu, comme votre DMV d’État ou votre école, afin de vous assurer que vous êtes bien la personne dont le nom figure en haut de la liste. le cheque. C'est aussi 2FA. Et pour obtenir ces identifiants, il faut généralement plusieurs choses à différents endroits pour prouver qui vous êtes.

Vous avez utilisé 2FA depuis le début et vous ne l'avez probablement pas compris.

Utiliser 2FA pour vos comptes en ligne est un peu différent, mais utilise toujours le même principe - si vous pouvez fournir plus d'une méthode pour prouver qui vous êtes, vous êtes probablement vraiment ce que vous prétendez être. Pour un compte quelque part comme Google, Facebook ou Amazon, vous devez fournir un mot de passe. Votre mot de passe est quelque chose que vous devez savoir, mais d’autres personnes peuvent l’obtenir. Lorsque vous ajoutez une exigence 2FA - comme un jeton d'authentification envoyé à votre téléphone ou une clé de sécurité USB que vous connectez à votre ordinateur - un mot de passe ne suffit plus pour accéder à votre compte. Sans les deux pièces d'authentification, vous êtes bloqué.

L'authentification à deux facteurs est-elle sécurisée?

Oui et non. Utiliser 2FA sur un compte est beaucoup plus sécurisé que de ne pas l'utiliser, mais rien n'est vraiment sécurisé. Mis à part cette idée effrayante, l’utilisation de 2FA constitue généralement une protection suffisante pour vos «produits», à moins que vous ne soyez une cible de premier plan ou que vous n’êtes vraiment pas chanceux.

L'utilisation de 2FA constitue généralement une protection suffisante pour vos comptes et services en ligne.

Sur le plan positif, si vous utilisez 2FA et que de faux emails de phishing parviennent à vous demander de fournir votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte. La plupart des gens utilisent 2FA pour leurs comptes en ligne, c'est d'envoyer un jeton à une application sur leur téléphone. Sans ce jeton, le fraudeur d'e-mails n'aura aucune chance d'obtenir un accès. Ils entreront le nom d'utilisateur ou l'ID de votre compte, puis le mot de passe, puis ils devront fournir ce jeton pour pouvoir aller plus loin. À moins d'avoir votre téléphone, le travail nécessaire pour contourner l'exigence de la deuxième pièce d'identité est suffisant pour que le méchant dise "oubliez ça!" et passer à quelqu'un d'autre.

D'autre part, si vous êtes quelqu'un comme le président ou Mick Jagger, cela vaut la peine d'essayer de vous connecter. Et il y a des moyens. La communication entre les personnes fournissant le jeton d'authentification et votre téléphone étant généralement sécurisée, les attaquants recherchent les informations d'identification sur le site Web ou le serveur. Les personnes très intelligentes peuvent détourner les jetons d'authentification et les cookies, et dès qu'une méthode est corrigée, ils commencent à en rechercher une autre. Cela nécessite beaucoup de connaissances et de travail acharné, ce qui signifie que le résultat final doit en valoir la peine. Les chances sont que vous et moi ne valions pas la peine, alors 2FA est un bon moyen de sécuriser nos comptes.

Comment utiliser l'authentification à deux facteurs?

C'est plus facile que vous ne le pensez!

La configuration de 2FA sur un compte est un processus en trois étapes. Vous devez fournir vos informations d'identification actuelles en saisissant votre mot de passe à nouveau (cela évite à quelqu'un d'autre de l'ajouter à votre compte), même si vous êtes actuellement connecté au service. Ensuite, vous allez dans les paramètres du compte et activez 2FA sur votre compte. Cela permet au serveur qui gère votre connexion de savoir que vous souhaitez l'activer. Ils prépareront tout dès qu'ils auront demandé quel type d'authentification vous utiliserez - les codes les plus courants sont les codes envoyés à votre téléphone sous forme de message SMS ou via une application d'authentification. Enfin, vous confirmez la modification en fournissant un jeton au serveur. Si vous utilisez une application, il peut s'agir d'un code à barres que vous devez scanner ou saisir manuellement des informations dans l'application. Si vous choisissez d'utiliser les SMS, vous recevrez un code que vous devrez entrer sur le site Web pour terminer.

La prochaine étape se produit lorsque vous souhaitez vous reconnecter à ce compte. Vous entrez un nom d'utilisateur ou un identifiant, puis un mot de passe, puis un numéro d'authentification vous sera demandé. Ce numéro est envoyé sous forme de SMS si c'est comme cela que vous configurez, ou dans l'application de votre téléphone si vous avez décidé de suivre cette voie. Vous tapez ce numéro dans le champ de texte et vous y avez accès.

La plupart des services stockent un jeton d'authentification sur votre téléphone ou votre ordinateur. Ainsi, lors de votre prochaine connexion, vous ne serez plus obligé de fournir le code. Mais si vous souhaitez configurer l'accès depuis un autre endroit, vous aurez besoin d'un code.

: Comment configurer 2FA sur votre compte Google

Le processus pour chaque service offrant 2FA sera légèrement différent, mais c’est un bon exemple de la façon dont les choses vont fonctionner.

Envelopper

Maintenant que vous en savez un peu plus sur 2FA, nous espérons que vous serez inspiré pour l’installer et l’utiliser partout où vous le pourrez. Les services les plus populaires - Google, Facebook, Twitter, Amazon, Steam et plus - proposent 2FA. C'est assez facile à installer et la tranquillité d'esprit qui en résulte en vaut la peine.

Mise à jour en janvier 2019: Cette page a été mise à jour avec les dernières informations concernant 2FA. Maintenant, assurez-vous de l'utiliser!