Page d'accueil Sécurité Il est temps d’arrêter d’utiliser SMS et les applications 2FA pour l’authentification à deux facteurs

Il est temps d’arrêter d’utiliser SMS et les applications 2FA pour l’authentification à deux facteurs

  • William Charles
  • 0
  • 2877
  • 582
Publicité

De nos jours, il semble que tous les sites Web que vous avez visités tentent de vous encourager à utiliser l'authentification à deux facteurs (2FA)..

L'un des moyens les plus courants d'utiliser 2FA consiste à saisir un code unique à partir de votre appareil mobile. En règle générale, vous recevez le code dans un message texte ou vous utilisez une application tierce tierce pour en générer un..

Les deux méthodes sont deux méthodes populaires d’utilisation des codes en raison de leur commodité. Cependant, les deux méthodes sont également faibles du point de vue de la sécurité. Et comme votre code 2FA est aussi sécurisé que la technologie utilisée pour le fournir, les faiblesses sont importantes..

Alors, qu'est-ce qui ne va pas avec l'utilisation de SMS et d'applications tierces pour accéder à vos codes? Que sont les connexions sans mot de passe? Sont-ils réellement en sécurité? Que sont les connexions sans mot de passe? Sont-ils réellement en sécurité? Les connexions sans mot de passe arrivent. Sont-ils sécurisés? Comment fonctionnent les connexions sans mot de passe? Voici ce que vous devez savoir. ? Et existe-t-il une alternative tout aussi pratique, plus sûre? Nous allons tout expliquer. Continuez votre lecture pour en savoir plus.

Comment fonctionne l'authentification à deux facteurs

Prenons un moment pour discuter du fonctionnement de l'authentification à deux facteurs. Sans comprendre les mécanismes de la technologie, le reste de cet article n’aura pas beaucoup de sens..

De manière générale, 2FA ajoute une couche de sécurité supplémentaire à votre compte. Comment sécuriser vos comptes avec 2FA: Gmail, Outlook et plus encore Comment sécuriser vos comptes avec 2FA: Gmail, Outlook et plus encore L'authentification à deux facteurs permet de sécuriser votre email et vos réseaux sociaux? Voici ce que vous devez savoir pour sécuriser en ligne. . Également appelée authentification multi-facteurs, les informations de connexion se composent non seulement d'un mot de passe, mais également d'une deuxième information à laquelle seul le propriétaire légitime du compte a accès..

2FA se présente sous différentes formes. Avantages et inconvénients des types et méthodes d'authentification à deux facteurs. Avantages et inconvénients des types et méthodes d'authentification à deux facteurs. Les méthodes d'authentification à deux facteurs ne sont pas créées égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et des méthodes qui répondent le mieux à vos besoins. . Au niveau le plus élémentaire, cela pourrait être quelque chose d'aussi simple que des questions de sécurité (car personne d'autre ne pourrait connaître le nom de jeune fille de votre mère. Pourquoi vous répondez à des questions de sécurité de mot de passe incorrectes Pourquoi vous répondez à des questions de sécurité de mot de passe erronées Questions de sécurité des comptes? Réponses honnêtes? Malheureusement, votre honnêteté pourrait créer une faille dans votre armure en ligne. Voyons comment répondre en toute sécurité aux questions de sécurité (ou à votre animal de compagnie préféré). À la fin plus compliquée, il pourrait s’agir d’une identification biométrique telle qu’un scan de la rétine ou une empreinte digitale..

Pourquoi éviter la vérification par SMS

SMS est considéré comme le moyen le plus accessible d’accéder aux codes 2FA et de les utiliser. Si un site propose des connexions avec authentification à deux facteurs, il propose presque certainement SMS parmi les options..

Mais SMS n'est pas un moyen sûr d'utiliser 2FA. Il a deux vulnérabilités principales.

Tout d'abord, la technologie est sensible aux attaques par échange de cartes SIM. Cela ne prend pas beaucoup pour un pirate informatique d'effectuer un échange de carte SIM. S'ils ont accès à une autre information personnelle, telle que votre numéro de sécurité sociale, ils peuvent appeler votre opérateur et transférer votre numéro sur une nouvelle carte SIM..

Deuxièmement, les pirates peuvent intercepter les SMS. Tout cela revient au système de routage téléphonique SS7 (Signalling System No. 7) désormais obsolète. La méthodologie a été conçue en 1975 mais est encore utilisée presque globalement pour connecter et déconnecter des appels. Il gère également les conversions de numéros, la facturation prépayée et, surtout, les messages SMS..

Sans surprise, cette technologie de 1975 est pleine de failles de sécurité. Voici comment l'expert en sécurité Bruce Schneier a décrit les failles:

“Si les assaillants ont accès à un portail SS7, ils peuvent transférer vos conversations sur un périphérique d'enregistrement en ligne et rediriger l'appel vers la destination souhaitée […]. Cela signifie qu'un criminel bien équipé peut saisir vos messages de vérification et les utiliser avant même les vu.”

Bien sûr, découvrir qu'un cybercriminel a piraté votre compte Facebook Comment savoir si votre compte Facebook a été piraté? Comment savoir si votre compte Facebook a été piraté, Facebook hébergeant une telle quantité de données, vous devez protéger votre compte. Voici comment savoir si votre Facebook a été piraté. compte est loin d'être idéal. Mais la situation est plus effrayante si l’on considère d’autres utilisations du 2FA. Un cybercriminel pourrait voler les codes que vous utilisez dans vos opérations bancaires en ligne ou même initier et compléter des transferts d'argent. Les 6 meilleures applications pour envoyer de l'argent à des amis Les 6 meilleures applications pour envoyer de l'argent à des amis La prochaine fois que vous devrez envoyer de l'argent à des amis, vérifiez sur ces grandes applications mobiles pour envoyer de l'argent à quelqu'un en quelques minutes. .

En outre, Schneier affirme également que quiconque peut acheter un accès au réseau SS7 pour environ 1 000 dollars. Une fois qu'ils ont accès, ils peuvent envoyer une demande de routage. Pour résoudre le problème, le réseau peut ne pas authentifier la source de la demande..

N'oubliez pas qu'il est préférable d'utiliser une authentification à deux facteurs par SMS que de laisser 2FA désactivé. Et il est peu probable que vous deveniez une victime. Cependant, si vous commencez à vous sentir un peu inquiet, vous devez continuer à lire. De nombreuses personnes acceptent que les SMS ne sont pas sécurisés et se tournent vers des applications tierces..

Mais cela peut ne pas être beaucoup mieux.

Pourquoi éviter les applications 2FA

L'autre moyen courant d'utiliser les codes 2FA consiste à installer une application smartphone dédiée. Il y a beaucoup de choix. Google Authenticator est sans doute le plus reconnaissable, mais ce n'est pas nécessairement le meilleur. Authy, Authenticator Plus et Duo offrent de nombreuses alternatives..

Mais quelle est la sécurité des applications spécialisées 2FA? Leur plus grande faiblesse est leur recours à une clé secrète.

Faisons un pas en arrière pendant une seconde. Au cas où vous ne le sauriez pas, lorsque vous vous inscrirez à de nombreuses applications pour la première fois, vous devrez entrer une clé secrète. Le secret est partagé entre vous et le fournisseur de l'application.

Lorsque vous accédez à un site, le code créé par l'application est basé sur une combinaison de votre clé et de l'heure actuelle. Au même moment, le serveur génère un code en utilisant les mêmes informations. Les deux codes doivent correspondre pour que l'accès soit autorisé. Semble raisonnable.

Alors pourquoi les clés sont-elles le point faible? Que se passe-t-il si un cybercriminel parvient à accéder à la base de données de mots de passe et secrets d'une entreprise? Comment vérifier si une autre personne accède à votre compte Facebook Comment vérifier si une autre personne accède à votre compte Facebook Il est à la fois sinistre et inquiétant de voir si une personne a accès à votre compte Facebook sans votre connaissance. Voici comment savoir si vous avez été victime d'une violation. à volonté.

Deuxièmement, le secret est affiché soit en texte brut, soit sous forme de code QR. il ne peut pas être haché ni utilisé avec un sel. cryptographie. . C'est probablement aussi en clair sur les serveurs de l'entreprise.

La clé secrète est la faille fondamentale du mot de passe unique basé sur le temps utilisé par les applications spécialisées. C'est pourquoi une clé physique U2F est toujours une option plus sécurisée.

Failles dans la conception et la sécurité pour les applications 2FA

Bien sûr, les chances d'un cybercriminel de pirater les bases de données nécessaires d'une application tierce sont assez minimes. Mais votre application pourrait également souffrir de failles de sécurité élémentaires dans sa conception..

Gestionnaire de mots de passe populaire LastPass 8 façons simples de surcharger votre sécurité LastPass 8 façons simples de surcharger votre sécurité LastPass Vous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l’utilisez-vous correctement? Voici huit étapes à suivre pour rendre votre compte LastPass encore plus sécurisé. a été victime en décembre 2017. Un blog de programmeur sur Medium a révélé que les clés secrètes 2FA étaient accessibles sans empreinte digitale, mot de passe ou autres mesures de sécurité..

La solution de contournement n'était même pas compliquée. En accédant à l'activité des paramètres de l'application LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), vous pouvez accéder au volet des paramètres de l'application sans vérification. De là, vous pouvez appuyer sur Retour une fois pour accéder à tous les codes 2FA.

LastPass a maintenant corrigé la faille, mais des questions subsistent. Selon le programmeur, il avait essayé de parler du problème à LastPass pendant sept mois, mais la société ne l’a jamais résolu. Combien d'autres applications 2FA tierces ne sont pas sécurisées? Et combien de vulnérabilités non résolues les développeurs connaissent-ils, mais retardent-ils le correctif? Il est également préoccupant de perdre l’accès à votre générateur de code sur Facebook. Comment vous connecter à Facebook si vous avez perdu l’accès au générateur de code. Comment vous connecter à Facebook si vous avez perdu l’accès au générateur de code. Vous avez perdu l’accès au générateur de code de Facebook? Cet article traite des méthodes alternatives pour vous connecter à votre compte Facebook. par exemple.

Que faire à la place: utilisez les clés U2F

Au lieu de compter sur SMS et 2FA pour vos codes, vous devez utiliser les clés universelles 2nd Factor. Que sont les clés U2F et où sont-elles prises en charge? Que sont les clés U2F et où sont-elles prises en charge? Les clés U2F sont l’un des meilleurs moyens de protéger vos comptes. Mais où les clés U2F sont-elles prises en charge? (U2F). Ils constituent le moyen le plus sûr de générer des codes et d’accéder à vos services..

Largement considéré comme une version de deuxième génération de 2FA, il simplifie et renforce le protocole actuel. De plus, l’utilisation des touches U2F est presque aussi pratique que d’ouvrir un message SMS ou une application tierce..

Les clés U2F utilisent une connexion NFC ou USB. Lorsque vous connectez votre appareil à un compte pour la première fois, il génère un nombre aléatoire appelé un “Nonce.” La Nonce est hachée avec le nom de domaine du site pour créer un code unique.

Ensuite, vous pouvez déployer votre clé U2F en la connectant à votre appareil et en attendant que le service la reconnaisse..

Alors, quel est l'inconvénient? Bien que U2F soit un standard ouvert, l'achat d'une clé physique U2F coûte toujours de l'argent. Et peut-être plus inquiétant, vous êtes à risque de vol.

Une clé U2F volée ne rend pas votre compte non sécurisé automatiquement; un pirate informatique aurait toujours besoin de connaître votre mot de passe. Mais dans une zone publique, un voleur aurait peut-être déjà vu votre mot de passe entrer de loin, avant de voler vos biens.

Les clés U2F peuvent être coûteuses

Les prix varient considérablement d'un fabricant à l'autre, mais vous pouvez vous attendre à payer entre 15 et 50 dollars environ..

Idéalement, vous voulez acheter un modèle qui “Certifié FIDO.” L’alliance FIDO (Fast IDentity Online) est chargée de réaliser l’interopérabilité entre les technologies d’authentification. Les membres comprennent tout le monde, de Google à Microsoft, en passant par Bank of America et MasterCard..

En achetant un appareil FIDO, vous pouvez être sûr que votre clé U2F fonctionnera avec tous les services que vous utilisez tous les jours. Découvrez la clé DIGIPASS SecureClick U2F si vous souhaitez en acheter une..

Insécurité 2FA est toujours mieux que pas 2FA

En résumé, les clés universelles 2nd Factor offrent un juste milieu entre facilité d'utilisation et sécurité. Le SMS est l'approche la moins sécurisée, mais c'est aussi la plus pratique..

Et rappelez-vous, tout 2FA est meilleur que aucun 2FA. Oui, cela peut prendre 10 secondes supplémentaires pour vous connecter à certaines applications, mais c'est mieux que de sacrifier votre sécurité..




Personne n'a encore commenté ce post.

Se sentir submergé? Arrêtez! 4 outils de gestion du temps pour vous sauver
Productivité
Comment rédiger un plan d'affaires
Productivité
9 leçons que Richard Branson peut vous enseigner sur la vie et les affaires
Productivité
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.