Vidéo: Duo Care - Premium Support (Novembre 2024)
Les mots de passe sont assez terribles en tant que forme d'authentification. Quiconque piratant, devinant ou surfant sur vos épaules votre mot de passe obtient un accès complet à votre compte. L'utilisation d'un gestionnaire de mots de passe pour gérer des mots de passe forts et uniques pour tous vos sites Web peut vous aider. Ce surfeur à l'épaule aura du mal à se souvenir d'un mot de passe comme! AtAVethabU? Rur2. Mais pour une sécurité sérieuse, vous voulez une authentification à deux facteurs (2FA). Le Duo Mobile gratuit offre exactement cela.
Tout d'abord, un rappel à deux facteurs. Les experts en sécurité parlent de trois éléments pouvant être utilisés pour l'authentification: quelque chose que vous savez, quelque chose que vous êtes et quelque chose que vous possédez. L'authentification à deux facteurs signifie simplement que vous en utilisez au moins deux.
Un mot de passe est un exemple de quelque chose que vous connaissez. c'est un facteur. Votre empreinte digitale est un exemple de ce que vous êtes. Mais une empreinte digitale n'est pas un second facteur important, car les lecteurs d'empreintes digitales ne sont ni omniprésents, ni parfaitement précis. La grande majorité des solutions modernes à deux facteurs reposent sur quelque chose que presque tout le monde possède: un smartphone. Le site Web très pratique Turn It On explique comment activer une authentification simple basée sur SMS pour plus de 100 sites Web.
L'authentification par SMS fonctionne avec n'importe quel type de téléphone portable, pas seulement avec les smartphones. Cependant, lorsqu'un smartphone est réellement disponible, l'authentification basée sur les applications est encore meilleure. Elle ne se heurte à aucune limite en matière de messagerie et l'authentification basée sur les applications fonctionne même sur les appareils mobiles sans connectivité cellulaire. L'Internet Engineering Task Force a défini une norme publique pour l'authentification basée sur les applications. Son implémentation la plus connue est Google Authenticator (GA). Cependant, Google n'est pas la seule entreprise avec un chien dans cette course.
Simple à utiliser
Comme Twilio Authy, Duo Mobile peut gérer l’authentification à deux facteurs pour l’un des nombreux sites prenant en charge Google Authenticator. Vous commencez par installer l'application sur votre iOS, Android, BlackBerry ou Windows Phone. Pour activer l'application pour 2FA sur un site sécurisé, suivez simplement les instructions de ce site comme si vous utilisiez Google Authenticator. Prenez le code QR obtenu avec Duo Mobile et vous êtes prêt.
Désormais, chaque fois que vous avez besoin d'un code d'authentification pour un site, il vous suffit d'appuyer sur l'icône de clé en regard du nom de ce site dans la liste de Duo mobile. Les codes sont limités dans le temps; si le temps est écoulé, le code disparaît et vous devez appuyer à nouveau sur la touche pour obtenir un autre code. Je préfère la façon dont Authy gère l'expiration du code. Il donne une indication visuelle du temps restant du code et affiche automatiquement un nouveau code à la fin du temps imparti. Dans Google Authenticator, le code clignote en rouge quelques secondes avant l'expiration.
J'ai facilement installé Duo Mobile sur mon iPhone 6. En quelques minutes, je l’ai configuré pour faciliter l’authentification de mes comptes Gmail, Evernote et Dropbox. Facile!
Vous pouvez configurer plusieurs appareils pour utiliser Duo Mobile à la place de GA. Cependant, comme avec GA, vous devrez les configurer séparément. Authy, en revanche, peut effectuer une sauvegarde chiffrée de votre collection de sites sécurisée, la synchroniser entre des périphériques et même révoquer l’accès d’un périphérique perdu ou volé.
Duo Push, encore plus simple
À chaque fois que Duo Mobile remplace Google Authenticator, il doit s’authentifier en fournissant un code d’authentification numérique. C'est tout simplement ainsi que fonctionne Google Authenticator. Mais lorsqu'un site utilise spécifiquement la technologie Duo, la fonctionnalité ultra-simple Duo Push devient une option.
Avec Duo Push, vous ne copiez aucun numéro. L'application ou le site Web envoie une demande d'autorisation à l'application sur votre smartphone (ou appareil portable), qui affiche deux boutons simples, Approuver et Refuser. Si vous vous connectez activement au compte en question, il vous suffit de cliquer sur Approuver. Si la demande sort de nulle part, touchez Refuser (et allez voir si votre compte est sous attaque). Authy a créé une fonctionnalité similaire qui est maintenant entre les mains des développeurs de sites, et la fonctionnalité Keeper DNA de Keeper Password Manager & Digital Vault 8 vous permet de vous connecter à votre coffre-fort de mots de passe en un clic.
Duo Security fournit une authentification à deux facteurs à usage interne pour les grandes entreprises, qui peuvent bien entendu choisir entre l'authentification basée sur code et la simple Duo Push. Pour le consommateur moyen, il n'y a pas beaucoup d'endroits où l'utiliser. Parmi les avantages, l’un des rares est le populaire gestionnaire de mots de passe LastPass 3.0.
Pas si simple à configurer
J'ai ouvert la page des paramètres de mon compte LastPass et cliqué sur l'onglet Options multifactorielles. Même dans son édition gratuite, LastPass prend en charge Duo Mobile, ainsi que Google Authenticator, Toopher et Transakt. Ceux qui utilisent LastPass 3.0 Premium peuvent également choisir de s’authentifier avec un YubiKey, un lecteur d’empreintes digitales ou le jeton Sesame basé sur USB.
Lorsque j'ai sélectionné Duo Security pour l'authentification à deux facteurs, LastPass m'a envoyé pour créer un compte Duo Security. Notez que je n'avais pas besoin d' un compte pour utiliser Duo à la place de GA. J'ai rempli mon email, mon numéro de téléphone mobile et un mot de passe principal. Elle souhaitait également un nom d'entreprise et le nombre d'employés (j'ai choisi "Just me"). J'ai saisi le code QR résultant avec Duo Mobile pour terminer l'enregistrement.
La connexion à mon nouveau compte m'a fourni ma première expérience de Duo Push. En fait, cela m'a laissé choisir de m'authentifier avec Duo Push, avec un code transmis par SMS ou avec un appel téléphonique. Lorsque j'ai choisi Duo Push, mon téléphone a été envoyé. J'ai simplement appuyé sur Approuver pour compléter l'authentification. Agréable!
Ah, mais ce n'était pas fini. J'ai ensuite rencontré une page Nouvelle application qui proposait des dizaines de types d'applications: Amazon, Citrix, Juniper, Microsoft, etc. J'ai réussi à trouver LastPass dans la liste. Sa sélection m'a amené à une très longue page avec trois éléments de données importants en haut: la clé d'intégration, la clé secrète et le nom d'hôte de l'API.
Après ce long détour, je suis retourné à LastPass et j'ai copié ces trois données. Ouf! Enfin, j'ai réussi à activer l'authentification Duo Push pour LastPass. Et oui, l'authentification au robinet est beaucoup plus facile que de se dépêcher de copier le code à six chiffres avant la fin du temps imparti. L'authentification sur une montre Apple Watch ou un autre appareil portable est encore plus facile, comme l'illustre la vidéo de 14 secondes de Duo.
Cependant, il s'avère que je n'étais pas tout à fait fini. Duo Security a fait apparaître un message me conseillant de configurer une authentification à deux facteurs (je pensais l'avoir déjà fait). En fait, l’assistant de configuration offrait des options supplémentaires à deux facteurs, notamment l’authentification par ligne terrestre ou un jeton FIDO Universal Two-Factor (U2F). Une fois l'opération terminée, l'assistant m'a conduit à un tableau de bord extrêmement complexe, identique à celui qu'un administrateur informatique verrait. Heureusement pour l'utilisateur moyen, vous ne devez absolument rien comprendre ou faire avec ce tableau de bord. Et au bout de 30 jours, l’essai gratuit de fonctionnalités spécifiques à l’entreprise se termine, laissant un tableau de bord un peu plus simple.
Fait le travail
Si vous êtes un utilisateur de LastPass avec une Apple Watch, vous devriez vraiment vous procurer Duo Mobile. Imaginez la fraîcheur de l'authentification en tapotant votre montre! Et bien sûr, si vous utilisez Duo Security au travail, vous avez déjà l'application, il est donc tout à fait logique d'utiliser Duo Mobile à la place de Google Authenticator. Je pense que Duo devrait proposer un processus plus simple pour les consommateurs qui souhaitent simplement utiliser Duo Push for LastPass sans passer par le même riguement que celui requis pour installer Duo Security pour une entreprise.
Cependant, si l'authentification par simple contact n'est pas sur les cartes, je trouve que Twilio Authy est plus pratique. J'aime l'indication visible de la durée de vie du code actuel et le fait que vous pouvez synchroniser votre collection de sites sécurisés entre appareils. Et bien sûr, Twilio propose une solution à une touche. Les deux produits sont gratuits, vous pouvez donc les essayer, voire les utiliser simultanément (Google Authenticator aussi!), Et voir ceux que vous préférez.
