Brian Curtis
0 
4303
166
Alors que le nombre d'incidents de piratage augmente jour après jour, tout le monde devrait utiliser une authentification en deux étapes / deux facteurs (2FA). Qu'est-ce qu'une authentification à deux facteurs et pourquoi l'utiliser? Une authentification à deux facteurs et pourquoi vous devriez le faire Utilisez-le L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,…. Il ajoute une couche pare-balles autour de votre compte en ligne, ce qui rend extrêmement difficile, voire impossible, un pirate informatique à pénétrer..
Mais beaucoup de gens sont réticents à utiliser 2FA, simplement en raison de la gêne occasionnée. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings secrets garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackages garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". d'avoir à obtenir un deuxième code à partir de leur téléphone, chaque fois qu'ils veulent se connecter. Ainsi, les utilisateurs désactivent la fonction ou ne se donnent pas la peine de la configurer. Mais vous devriez, car de nombreuses entreprises s’engagent maintenant dans l’idée.
Si vous vous comptez dans le “facilement gêné” groupe, alors vous serez heureux d’entendre qu’il existe une autre option au lieu de 2FA. Cette option permet de sécuriser votre compte, mais il vous suffit d'appuyer sur un bouton. Vous l'appelez. Elle s'appelle YubiKey et, après quelques jours d'utilisation, je suis déjà converti. Bébé, tu m'as eu au salut.
Qu'est-ce qu'une YubiKey??
Une YubiKey est une clé USB, fabriquée par la société Yubico. Ils fabriquent divers produits, qui ont tous un travail similaire. Mais pour les besoins de cet article, je vais me concentrer sur le Fido U2F (Universal 2-Factor) qui est celui que j'ai reçu. Il est facile à installer et à utiliser, et est apparemment indestructible.
Du site:
“Tous les YubiKeys sont presque indestructibles. La YubiKey de taille standard (telle que la clé de sécurité YubiKey Standard, la clé de sécurité YubiKey NEO, la clé YubiKey Edge et la clé de sécurité FIDO U2F) est fabriquée en plastique moulé par injection recouvrant le circuit, tandis que les éléments exposés sont en or trempé de qualité militaire. Imperméable et résistante aux chocs, la YubiKey de taille standard se fixe à votre trousseau à côté des clés de votre maison et de votre voiture.”.
C’est une petite chose qui a l’air délicate, et vous seriez pardonné de douter de la “indestructible” prétendre. Ne pesant que 3 grammes, ses dimensions ne sont que de 18 mm x 45 mm x 3 mm. Mais cette petite clé, avec le stockage de tous mes mots de passe dans KeePass, a soudainement rendu la connexion à des comptes sans douleur ni ennui. Google et Facebook utilisent la clé YubiKey pour les identifiants des employés. Le concept est donc doté de puissants frappeurs qui la sauvegardent. Google l'a introduit pour ses utilisateurs en 2014.
Comment ça marche?
La YubiKey est un composant matériel prenant en charge les mots de passe à usage unique, le cryptage et l'authentification par clé publique et le protocole U2F (Universal 2nd Factor) développé par FIDO Alliance. Vous pouvez l'utiliser pour vous connecter en toute sécurité à vos comptes pris en charge à l'aide d'un mot de passe à utilisation unique ou d'une paire de clés publique / privée basée sur FIDO. Comment fonctionne le cryptage et est-il vraiment sûr? Comment fonctionne le cryptage et est-il vraiment sûr? généré par l'appareil. Après avoir entré la clé, vous appuyez sur le bouton doré et le contact de votre doigt dégage une petite charge électrique qui active le périphérique..
Comment le configurez-vous?
Une YubiKey est très facile à configurer, comme vous le verrez ci-dessous. Une clé U2F fonctionne pour les comptes Google, Dropbox, Github. Qu'est-ce que Git et pourquoi utiliser le contrôle de version si vous êtes développeur? Qu'est-ce que Git et pourquoi utiliser le contrôle de version si vous êtes développeur? En tant que développeurs Web, Lorsque nous avons tendance à travailler sur des sites de développement locaux, il suffit de tout télécharger lorsque nous avons terminé. Dashlane Dashlane - Nouveau gestionnaire de mots de passe, assistant de remplissage de formulaires et assistant d'achat en ligne Dashlane - Un nouveau gestionnaire de mots de passe, assistant de remplissage de formulaires et achats en ligne Si vous avez essayé Quelques gestionnaires de mots de passe auparavant, vous avez probablement appris à vous attendre à une certaine rugosité sur les bords. Ce sont des applications solides et utiles, mais leurs interfaces peuvent être trop complexes et peu pratiques. Dashlane ne fait pas que réduire… Pour les besoins de cet article, je vais avec des comptes Google, mais les autres suivront plus ou moins la même procédure. Juste différentes captures d'écran.
Dirigez-vous vers votre page d’authentification Google en 2 étapes, puis cliquez sur le bouton Clés de sécurité languette.
Cela vous amène ensuite à la page de configuration. Suivez les instructions comme indiqué sur la page. C'est très basique et simple.
Lorsque la clé a été enregistrée avec succès, le “registre” la clé en bas deviendra verte et montrera “Inscrit”. Si ce n'est pas le cas, recommencez depuis le début jusqu'à ce qu'il le soit.
Vous pouvez vérifier si la clé a bien été enregistrée en retournant à la page Clés de sécurité languette.
Et ça, mesdames et messieurs, est-ce.
Que se passe-t-il si vous vous connectez à l'aide d'un smartphone ou d'une tablette??
C'était l'une des premières choses qui me vint à l'esprit. Je me connecte à tous mes comptes Google beaucoup sur mes appareils iOS. Mes iDevices sont merveilleux et tous, mais l'un des points faibles est qu'ils n'ont pas de port USB. Alors, où va la YubiKey quand elle me le demande?
Après vérification auprès de la société, il semble que si vous vous connectez à votre compte via un téléphone ou une tablette, le YubiKey le détecte et l'écran de connexion passe automatiquement par défaut à votre méthode d'authentification à 2 facteurs (SMS, Authy ou Google Authenticator. Google recommande 2 Processus en ligne pour protéger votre compte [News] Google recommande un processus en deux étapes pour protéger votre compte [News] La plupart des internautes avertis ont probablement au moins un compte Google - principalement parce que Google, pour le meilleur ou pour le pire, croise de nombreux chemins il est difficile d’éviter de ne pas utiliser le…). La YubiKey elle-même ne sera demandée que si elle détecte que vous utilisez un ordinateur de bureau ou un ordinateur portable, ce qui aura un port USB..
Il convient également de noter que si vous acheminez votre courrier électronique via un client local tel que Apple Mail ou Outlook, ni le YubiKey ni le 2FA ne sont pris en charge. Dans ce cas, vous devrez utiliser un mot de passe spécial de l'application en question..
Ses avantages
Passons maintenant en revue quelques-uns des avantages d'utiliser une clé comme celle-ci..
C'est extrêmement simple à utiliser
Il n'y a vraiment aucun moyen de gâcher quelque chose comme ça. Une fois la configuration effectuée, insérez simplement la clé dans le port USB et appuyez une fois sur le bouton rougeoyant. C'est tout. Maintenant, comment quelqu'un pourrait-il éventuellement se tromper?
Votre compte bénéficie d'une sécurité supplémentaire sans gêne
Comme je l'ai déjà mentionné, le 2FA est bon - mais cela peut être ennuyeux. Quand je parle à quelqu'un qui n'a pas 2FA, l'excuse normale est invariablement “c'est trop embêtant“. Mais mon contre-argument est toujours “et combien de tracas est impliqué en essayant de récupérer un compte piraté?“. Mais néanmoins je l'obtiens toujours. 2FA consiste à vous connecter à votre téléphone, à obtenir le code et à le saisir. Le faire une fois n'est pas grave, mais lorsque vous le faites régulièrement, cela commence à devenir fastidieux. Même à plusieurs reprises, j'ai été tenté de tout laisser tomber et de ne pas m'inquiéter que quelqu'un puisse percer mes comptes, et je ne suis pas seul dans cette situation..
Une YubiKey supprime cet inconvénient et vous incite davantage à utiliser la protection supplémentaire. Cependant, vous aurez toujours besoin de la configuration 2FA si vous accédez à vos comptes en ligne via un smartphone ou une tablette. Donc, vous ne pouvez pas échapper à 2FA entièrement.
Ce n'est pas cher
Les différents YubiKeys proposés ont tous des prix variables (40 $ à 50 $), chacun effectuant un certain travail (voir le “Désavantages” section pour plus à ce sujet). Cependant, le U2F est vraiment bon marché (18 $ sur Amazon), comme il en fait moins que les autres clés. Pour mouiller vos pieds avec l'appareil, il est idéal de commencer avec l'U2F. Pensez-y comme un élève qui roule sur le vélo d'un enfant.
Il est impossible d'être infecté par un virus
Une des choses que j'ai remarquées le plus en ligne, lors de la lecture de YubiKeys, est que les gens hurlent “et l'infecter dans un terminal Internet public? NON MERCI!“. Tout d’abord, vous ne devriez pas utiliser les connexions Internet publiques. 5 façons de vous assurer que les ordinateurs publics que vous utilisez sont sûrs. 5 façons de vous assurer que les ordinateurs publics que vous utilisez sont sûrs. demande encore plus de prudence. Si vous utilisez un ordinateur public, suivez ces instructions pour garantir votre confidentialité et votre sécurité. pour des raisons de sécurité, et deuxièmement, les YubiKeys ne peuvent pas attraper de virus car il est impossible de déplacer des fichiers dessus. Ce n'est pas ce genre de périphérique USB. Ajoutez à cela le fait que toutes les informations contenues sur la clé sont protégées en écriture et l'ordinateur reconnaît la clé comme un clavier. Il n'y a donc pas besoin de s'inquiéter de ce point.
Ses inconvénients
Bien que la YubiKey soit un excellent appareil à mon avis, vous devez néanmoins être conscient de certains inconvénients notables..
Cela ne fonctionne que dans Chrome
Au moment de la rédaction de ce document, YubiKey ne fonctionne que sur Google Chrome, version 38 ou ultérieure. Tellement de mal que les utilisateurs de Firefox, Safari, Opera et Edge 10 aient raison d'utiliser Microsoft Edge maintenant 10 raisons d'utiliser Microsoft Edge maintenant Microsoft Edge marque une rupture complète avec le nom de marque d'Internet Explorer, tuant 20 années -recherche de l'arbre généalogique. Voici pourquoi vous devriez l'utiliser. . Il est fort possible qu'ils rejoignent le groupe dans le futur, mais pour l'instant, ils ne prennent pas en charge la YubiKey. Pendant toute ma vie, je ne comprends pas pourquoi seul Chrome est pris en charge. Cela aliène un grand nombre d’utilisateurs du navigateur.
Différents comptes nécessitent différentes clés
Yubico fabrique 7 produits différents, et ils font tous des choses différentes. Par exemple, ma clé, le Fido U2F, n’ouvre que les comptes sur les gestionnaires de mots de passe Google, Dropbox, Github et Dashlane (comptes premium uniquement)..
Mais - et voici le plus gros mais - si vous souhaitez sécuriser votre système d'exploitation, vos comptes Paypal, Evernote ou WordPress, vous aurez besoin de différents YubiKeys. Si tout ce dont vous avez besoin est de déverrouiller votre compte Gmail, alors U2F suffit. Tout le reste, c'est comme utiliser un tank pour écraser une mouche.
La YubiKey 4 fait à peu près tout, mais à 50 USD, cela peut s'avérer un peu trop cher pour quelqu'un qui veut juste entrer dans son courrier électronique..
Si quelqu'un obtient votre clé et votre mot de passe, votre compte est compromis
Le problème avec 2FA est qu’un intrus aurait besoin d’un accès physique à votre téléphone pour obtenir le code SMS ou Google Authenticator. Si vous avez un code d'authentification sur votre téléphone (ce que vous devriez faire, en particulier à la lumière de la confrontation entre Apple et le FBI), les portes arrière du FBI n'aideront personne - pas même le FBI Les portes arrière du FBI n'aideront personne - pas même le FBI Le FBI veut forcer les entreprises technologiques à autoriser les services de sécurité à surveiller la messagerie instantanée, mais il n’existe pas de tels backdoors sécurisés, et si c’était le cas, feriez-vous confiance à votre gouvernement?), il serait alors impossible d’accéder à vos codes 2FA. une tierce partie non autorisée. À moins que votre code ne soit quelque chose d'extrêmement évident (tel que votre anniversaire) et que l'intrus vous connaisse suffisamment bien pour deviner que.
Mais si une personne met la main sur votre YubiKey et connaît également le mot de passe de votre compte, elle y accédera plus rapidement qu'un couteau chauffant au beurre. Ils n'auraient aucun code secret de smartphone à contourner. Cela suppose que vous avez un code d'authentification sur votre téléphone pour commencer. Si non, alors il n'y a pas de différence entre utiliser 2FA et utiliser une clé YubiKey.
Le meilleur moyen de résoudre ce problème consiste à utiliser un mot de passe très long et difficile à deviner. Guide de gestion des mots de passe Guide de gestion des mots de passe Ne vous sentez pas submergé par les mots de passe, ou utilisez simplement le même mot de passe sur tous les sites pour vous rappeler du contenu. eux: concevez votre propre stratégie de gestion des mots de passe. (et le conserver dans un gestionnaire de mot de passe crypté. Gestionnaire de mots de passe Battle Royale: Qui va finir au sommet? Gestionnaire de mots de passe Battle Royale: Qui va finir au sommet?). Ainsi, même si la clé tombait entre de mauvaises mains, il serait extrêmement difficile, voire impossible, de déterminer le mot de passe du compte. Sans le mot de passe, la clé finirait par être un morceau de plastique inutile.
Y a-t-il des alternatives à YubiKey??
Après avoir regardé autour de nous, la seule alternative à YubiKey semble être Nitrokey. À peu près au même prix que la YubiKey, la NitroKey est fabriquée en Allemagne et se targue d’être open-source. Il semble également faire beaucoup plus qu'une clé YubiKey, ce qui me permet d'envisager d'en acheter une et de la tester pour la comparer. Le produit s'appelait auparavant Crypto-Key et a été examiné par Danny en 2012. Crypto Stick de la fondation allemande pour la confidentialité - Comment et pourquoi il est plus sécurisé Crypto Stick de la fondation allemande pour la vie privée - Comment et pourquoi il est plus sécurisé De nouvelles technologies sont constamment créées afin d'accroître la sécurité, et nombre de ces technologies finissent par disparaître à cause de failles et d'autres problèmes éventuellement découverts. Aucune forme de sécurité n'est exemptée… .
Mais il est agréable de voir qu’au moins une autre société fabrique un produit concurrent et, ce faisant, fait progresser le concept de clé de sécurité. La rivalité favorise la recherche, et la recherche aboutit à de meilleurs produits (généralement).
Tranquillité d'esprit ou commodité?
Toute l’exploration du concept YubiKey a soulevé, pour moi en tout cas, toute la question de ce que nous devrions être prêts à accepter au nom de la sécurité. L’authentification à deux facteurs est un excellent moyen de s’assurer que votre compte est verrouillé, mais comme je l’ai mentionné plus haut, il peut être très pénible. Cela amène beaucoup de gens à dire “fout ça, j'éteins ça!”.
D'autre part, quelque chose comme une YubiKey ou une NitroKey facilite le processus. Appuyez sur un bouton et vous y êtes. Mais si vous perdez la clé et que quelqu'un peut deviner facilement votre mot de passe, vous passerez une très mauvaise journée. Donc, tranquillité d'esprit (et quelques étapes supplémentaires) ou appuyer sur le bouton d'une touche pour gagner 60 secondes? Dans quel camp es-tu tombé? Dites le nous dans les commentaires.