Securitywatch: comment ne pas être verrouillé avec une authentification à deux facteurs | max eddy

Les outils de sécurité créent souvent une certaine anxiété. Que se passe-t-il si je perds mon mot de passe? Ou si mon antivirus supprime mes données? L'avènement de l'authentification à deux facteurs a créé une nouvelle tournure sur une anxiété familière: que se passe-t-il si je ne peux pas utiliser mon deuxième facteur et être bloqué sur mon compte?

Jeremy de Capetown a fait part de ses préoccupations concernant 2FA. J'ai édité sa lettre pour la brièveté.

Cher Monsieur, Je ne suis pas trop technique et je souhaite un dispositif d’authentification à deux facteurs qui ne présente pas de complications complexes lors de la configuration ou de l’accès comme vous l’avez rencontré avec le Yubikey. Ma plus grande peur est de me verrouiller hors de mon compte Gmail.

Est-il préférable d’acheter deux clés, avec une clé de secours?

Cordialement, Jeremy

Si vous n'avez pas entendu parler de l'authentification à deux facteurs, ou 2FA, voici l'essentiel: 2FA est une deuxième action à effectuer après la saisie de votre mot de passe pour vérifier votre identité. L'idée est qu'un attaquant pourrait avoir votre mot de passe, mais pas votre clé de sécurité, votre application d'authentification ou votre code SMS. Il y a toute une théorie et une pratique dans 2FA que je ne vais pas aborder ici, mais je vous encourage à activer et à activer 2FA lorsque vous le pouvez.

Jeremy est en bonne compagnie dans ses préoccupations concernant 2FA. Je connais beaucoup de personnes techniquement avisées et soucieuses de la sécurité que je connais qui continuent d’éviter la protection à deux facteurs parce qu’elles ont peur de rester en lock-out et peut-être de perdre l'accès à leurs données pour toujours. C'est une préoccupation réelle et valable.

Lecteur, ça m'est arrivé

En fait, je n'avais jamais accès à des comptes protégés par 2FA. Plus d'une fois. À l'époque, l'une des premières entreprises à proposer une authentification à deux facteurs était Blizzard. Les joueurs de World of Warcraft y ont eu accès en premier, car ils devaient protéger leur butin durement gagné. Vous vous souviendrez peut-être de personnes marchant avec des porte-clés WoW affichant des chiffres changeants sur un écran LCD. Blizzard a ensuite transformé l'expérience en une application mobile et a déployé 2FA à tous les utilisateurs de Battle.net.

Étant une personne paranoïaque que je suis, j'ai activé 2FA sur mon compte Blizzard à l'aide de l'application spéciale Blizzard Authenticator. J'ai immédiatement oublié que je l'avais fait et, dans les mois qui ont suivi, j'ai supprimé l'application de mon téléphone et oublié mon mot de passe. Heureusement, Blizzard offre un excellent service client. Quelques courriels avec leur personnel jovial m'ont mis en ligne dans quelques jours. C'était quand même stressant. J'étais tellement habitué à pouvoir gérer mes propres réinitialisations de mot de passe, et l'idée de devoir dialoguer avec un humain vivant dans le cadre de ce processus me semblait très étrange.

Depuis, je me suis davantage habitué à cette expérience et j'ai appris à mieux gérer mon authentificateur. J'ai toujours réussi à me retrouver à plusieurs reprises en lock-out sur Battle.net, ainsi que sur Steam et d'autres services.

Selon la manière dont une entreprise configure son offre 2FA, vous devrez peut-être vous mettre en quatre pour obtenir le contrôle de votre compte. Aussi ennuyant que cela puisse paraître, cela signifie en réalité que le service fonctionne. Si vous ne disposez pas de l'authentificateur, vous devrez passer par beaucoup de choses. Si c'était facile pour vous, alors ce serait facile pour un méchant.

Multipliez vos facteurs

Heureusement, il existe un moyen simple d’empêcher le verrouillage par 2FA: utilisez plusieurs options 2FA. Ceux-ci peuvent servir de sauvegarde si vous n'avez pas accès à une autre option 2FA. Par exemple, j'utilise une NFC YubiKey 5 avec mes comptes Google, mais j'ai également permis d'appuyer sur une notification push de vérification sur mon téléphone. Si je n'ai pas mon Yubikey, je l'utilise plutôt.

L'ajout de périphériques multifactoriels augmente le risque que votre compte soit compromis. Il existe maintenant deux manières d'accéder à votre compte, au lieu d'un seul. Je pense que les avantages de ne pas être bloqués sur votre compte l'emportent largement sur le scénario hautement improbable dans lequel vous êtes agressé et où l'agresseur prend votre portefeuille, vos clés et votre clé de sécurité et vous invite également à écrire votre mot de passe.

Ensemble de clés de sécurité Google Titan.

La meilleure recommandation d'utiliser plus d'un appareil 2FA provient de Google, qui fournit deux clés dans son ensemble Titan Key. Celles-ci ont été créées spécifiquement pour fonctionner avec le système de protection avancée de Google, ce qui vous oblige à inscrire deux clés de sécurité distinctes. Vous en utilisez un tous les jours et vous rangez l’autre en cas d’urgence. Donc, pour répondre directement à la question de Jeremy: Ce n’est pas une mauvaise idée d’avoir deux clés pour votre compte.

Malheureusement, tous les sites ne vous permettent pas d’inscrire plus d’une option multifactorielle. Si tel est le cas, je vous recommande d’utiliser l’option 2FA qui vous semble la plus fiable.

Construire votre arsenal d'authentificateur

Si vous choisissez d'acheter plusieurs clés 2FA matérielles, je vous recommande soit la clé de sécurité de notre choix éditorial de Yubico, soit le kit Titan Key de Google. La clé de sécurité de Yubico ne coûte que 20 $ chacun, ou 36 $ pour deux. Le forfait de Google coûte 50 USD et comprend deux appareils: une clé USB et un dongle Bluetooth alimenté par batterie.

La clé de sécurité de Yubico

Pendant des années, la manière la plus courante d'utiliser 2FA était d'envoyer des codes uniques sur votre téléphone par SMS. Vous devrez probablement encore utiliser cela avec votre banque, car les institutions financières ont tendance à adopter les nouvelles technologies plus lentement. Il est intéressant de noter que Google vous oblige toujours à activer les codes SMS si vous souhaitez utiliser un autre système 2FA. À la question de Jeremy, cela signifie que lorsque vous allez inscrire votre nouvelle clé de sécurité auprès de Google, vous devez déjà activer une deuxième option 2FA sous la forme de codes SMS.

Une autre option consiste à utiliser Google Authenticator ou une application similaire telle que LastPass Authenticator. Ces applications mobiles génèrent des codes d'authentification à six chiffres toutes les 30 secondes. Il suffit d’ouvrir l’application, de copier le code et le tour est joué. Celles-ci sont particulièrement pratiques comme option de sauvegarde 2FA, car l’application fonctionne même sans service cellulaire ni Wi-Fi.

Si tout cela vous semble inquiétant, vous pouvez utiliser ma méthode préférée: les codes de sauvegarde physiques. Vous les avez peut-être vus lors de la création de comptes ou de l'inscription à 2FA. C'est une grille de plusieurs nombres que vous pouvez utiliser à la place d'un mot de passe et des jetons 2FA. Ils ne sont générés qu'une fois, et si vous les générez à nouveau, les anciens sont éliminés. Idéalement, vous les sécuriserez dans un coffre-fort de fichiers crypté ou, mieux encore, sur un morceau de papier niché dans un endroit sûr.

Lors de la création de son programme de protection avancée, Google a opté pour plusieurs clés matérielles car toutes les autres options énumérées ci-dessus, y compris les codes de sauvegarde, pourraient potentiellement être capturées avec une page de phishing bien conçue. Usurper une clé de sécurité est beaucoup plus difficile.

• Authentification à deux facteurs: qui l'a et comment la configurer? Authentification à deux facteurs: qui l'a et comment la configurer
• Pourquoi n'utilisez-vous pas l'authentification à deux facteurs? Pourquoi n'utilisez-vous pas l'authentification à deux facteurs?
• Google: les attaques de phishing qui peuvent battre deux facteurs sont à la hausse Google: les attaques de phishing qui peuvent battre deux facteurs sont à la hausse

N'oubliez pas que tous les sites ne prennent pas en charge tous les types d'authentificateur. LastPass, par exemple, vous permet d'utiliser des clés de sécurité, mais uniquement des clés prenant en charge des codes de passe uniques. La détermination des authentifiants à utiliser dépend souvent des options prises en charge.

Vos premières étapes pour l'authentification à deux facteurs

Cela dit, je recommande à tout nouveau membre de 2FA de l’essayer avec un système autre que les clés de sécurité. Si vous n'êtes pas habitué à vous connecter avec une seconde connexion, vous risquez de vous tromper avec quelque chose d'aussi inhabituel qu'une clé de sécurité. Essayez plutôt d’utiliser des notifications push, des codes envoyés par SMS, Duo ou Google Authenticator (ou un générateur de code similaire). Ceux-ci utilisent les appareils que vous avez déjà, donc l'entrée est gratuite. Une fois que vous êtes familiarisé avec le fonctionnement de 2FA et que vous commencez à vous sentir comme une seconde nature, vous pouvez envisager de dépenser de l'argent pour obtenir une clé de sécurité.

Une fonctionnalité de sécurité n’a de valeur que si vous l’utilisez réellement. Donc, activez 2FA, mais accordez-vous la permission de jouer avec et trouvez une méthode qui fonctionne pour vous.