Uncategorized

Quelle est la sécurité exacte de l’authentification à deux facteurs ? – Revue Geek

Quelle est la sécurité exacte de l'authentification à deux facteurs ?  – Revue Geek


Un téléphone à côté d'une tablette demandant un code 2FA
BestForBest/Shutterstock.com

L’authentification à deux facteurs (2FA) devient obligatoire sur de nombreux internet sites Web, et il est facile de comprendre pourquoi. À première vue, vous obliger à confirmer votre connexion par SMS ou par une application fournit une deuxième couche de sécurité solide. Mais à quel place est-il fort?

Avec l’augmentation des menaces de sécurité et les personnes ayant additionally que jamais à perdre en ligne, il est naturel de vouloir se protéger autant que possible. Bien que le piratage d’un compte de réseau social puisse être ennuyeux, il y a des conséquences bien furthermore graves à avoir une cybersécurité laxiste. Les pirates pourraient accéder à vos comptes bancaires et vider vos économies, des fichiers et des photographs sensibles pourraient être volés, et vous pourriez même avoir un compte professionnel piraté et atterrir dans l’eau chaude avec votre patron.

Le terme « authentification à deux facteurs » fait référence à une deuxième étape pour confirmer qui vous êtes. Une couche de safety supplémentaire fournira, par défaut, plus de sécurité qu’une simple barrière. Cependant, il existe as well as d’une méthode de 2FA toutes les méthodes offrent différents niveaux de sécurité, et certaines sont additionally populaires que d’autres. Alors, 2FA peut-il rendre vos comptes sensibles invulnérables aux pirates ? Ou est-ce juste un énorme gaspillage d’efforts? Découvrons-le.

Le SMS n’est pas aussi sûr qu’il y paraît

Un laptiio affichant une demande de réinitialisation du code 2FA
KT Stock pictures/Shutterstock.com

La forme la in addition courante de 2FA est basée sur les SMS. Votre banque, votre compte de réseau social ou votre fournisseur de messagerie vous envoie un SMS avec un code, que vous saisissez dans un délai défini. Cela vous donne accès au compte et protège votre connexion de toute personne qui n’a pas votre téléphone. À première vue, c’est la méthode la plus sûre. Quelqu’un aurait besoin de voler votre téléphone portable ou de concevoir un moyen élaboré, à la James Bond, de cloner votre carte SIM pour contourner celui-ci, n’est-ce pas ? Mauvais.

L’année dernière, Vice a affirmé qu’un pirate informatique pourrait utiliser une faille dans le système SMS pour détourner votre numéro et rediriger vos messages SMS pour seulement 16 $. Il existe également des méthodes as well as ou moins sophistiquées qu’un individu peut utiliser pour accéder à vos messages. Le plus simple consiste simplement à appeler votre compagnie de téléphone en prétendant être vous, en disant que votre téléphone est manquant et en demandant à la compagnie de changer votre numéro sur une autre carte SIM. Les moreover complexes impliquent d’attaquer directement l’entreprise et d’intercepter les messages.

Quant à la façon dont ils obtiennent des informations personnelles et votre numéro de téléphone ? Ils pourraient faire des affaires louches et acheter des informations personnelles sur vous et vos diverses activités en ligne sur le dark world wide web. Ou ils pourraient consulter votre Facebook pour des détails comme votre date de naissance, votre numéro de téléphone, les écoles que vous avez fréquentées et le nom de jeune fille de votre mère. Vous savez peut-être précisément quelles informations vous mettez en ligne, mais beaucoup de gens ne le savent pas.

À tout le moins, il est probable de se protéger des attaques par échange de sim ou d’être alerté lorsqu’elles se produisent. Mais vous devriez envisager d’adopter une méthode 2FA différente si feasible.

2FA basé sur le courrier électronique pourrait être inutile

L’authentification à deux facteurs devrait ajouter une couche de sécurité supplémentaire entre votre compte et une menace potentielle. Cependant, si vous êtes paresseux, tout ce que vous faites est d’ajouter une étape supplémentaire et de donner potentiellement un bon rire à un mécréant sur World wide web. Si vous êtes le style de personne qui utilise le même mot de passe pour tout et que son compte de messagerie est utilisé pour sécuriser son compte cible, vous pourriez avoir beaucoup de problèmes. Un pirate peut se connecter à cette adresse e-mail en utilisant les mêmes informations qu’il a déjà volées et authentifier ses steps.

Si vous insistez pour utiliser 2FA par e-mail, vous devez créer un compte de messagerie séparé uniquement à des fins d’authentification avec son mot de passe distinctive et difficile à déchiffrer. Vous pouvez également utiliser une autre méthode car elles sont toutes plus sécurisées.

Drive-Dependent pourrait vous laisser tomber

Un homme se connectant à un site avec 2FA
tsingha25/Shutterstock.com

L’authentification basée sur le thrust peut être rapide, basic et sécurisée. Un appareil, qui peut être votre smartphone, est lié à votre compte et enregistré comme méthode 2FA de votre choix. À partir de ce minute, chaque fois que vous souhaitez vous connecter, vous recevrez une notification press sur cet appareil. Déverrouillez votre téléphone, confirmez qu’il s’agit bien de vous et vous êtes connecté. Cela semble parfait, non ?

Malheureusement, il y a un hic ou deux. Le principal problème avec la méthode basée sur le push est que votre appareil doit être en ligne pour que vous puissiez l’utiliser. Si vous avez besoin d’accéder à un compte et que votre téléphone a du mal à obtenir un signal, vous n’avez pas de prospect. Il convient de souligner que cela n’a pas été un problème pour moi au cours des quelques années où je l’ai utilisé. Si j’ai besoin de me connecter, je suis généralement quelque portion avec le WiFi, que mon téléphone peut utiliser. Je suis plus susceptible d’être à un endroit où je ne peux pas recevoir de SMS qu’à un endroit où j’essaie de me connecter et je ne parviens pas à recevoir une notification force sur mon téléphone.

2FA basé sur le matériel demande beaucoup d’efforts

La YubiKey Bio sur Mac et PC.
Yubico

Les clés d’authentification physiques sont aussi proches que probable de l’impossibilité de piratage. Il s’agit essentiellement d’une clé USB remplie de protocoles et de codes de sécurité que vous branchez sur un appareil auquel vous vous connectez. Vous pouvez le garder sur votre porte-clés et l’emporter avec vous, ou le garder dans un coffre-fort et ne le sortir que lorsque vous avez besoin de vous connecter à quelque selected qui a besoin de cette couche de sécurité supplémentaire. Le principal threat avec une clé physique est de la perdre ou de la casser, ce que vous avez peut-être déjà fait avec des clés USB par le passé.

Il est également feasible d’écrire physiquement un mot de passe d’authentification prolonged et complexe. Il s’agit d’une chaîne de chiffres et de caractères et d’une méthode populaire pour sécuriser les portefeuilles de crypto-monnaie. Comme ceux-ci sont difficiles à déchiffrer, le FBI est entré par effraction dans une maison pour trouver un morceau de papier contenant un mot de passe de 27 caractères, ce qui était in addition facile que de le trouver. Vous ne pouvez pas pirater quelque chose d’écrit sur un morceau de papier et stocké dans un tiroir de bureau, et les superordinateurs peuvent prendre des années pour parcourir les combinaisons possibles impliquées dans le cryptage de haut niveau.

Bien sûr, si c’est dans le tiroir de votre bureau, ce n’est pas avec vous. Si vous l’emportez avec vous, vous pouvez le perdre aussi facilement que vous pouvez perdre une clé USB 2FA. Et quand il aura disparu, vous devrez au mieux passer par un processus de récupération de compte ou au pire perdre l’accès à votre compte. La méthode physique est la meilleure chose que vous puissiez faire en termes de sécurité, mais la pire en termes de commodité. Vous pouvez l’utiliser comme méthode de récupération de compte à toute épreuve, mais il est probablement préférable de l’éviter pour les éléments auxquels vous accédez à la volée.

2FA basé sur l’application vaut le détour

Le téléchargement d’une application comme Google Authenticator présente quelques avantages. Il est plus sécurisé que des méthodes telles que l’authentification par e-mail et SMS  il est gratuit dans la plupart des cas et fonctionne toujours si l’appareil n’a pas de connexion Net. Cela est dû à l’algorithme basé sur la synchronisation, qui produit différentes clés à différents times dans le temps. Une clé n’est valide que pour une période définie et doit correspondre à l’appareil et au web-site auxquels l’utilisateur se connecte.

Il y a encore quelques vulnérabilités. Avec Google Authenticator, il n’y a pas de verrouillage sur l’application elle-même, donc toute personne pouvant accéder à votre téléphone peut l’ouvrir et l’utiliser. Certains programmes malveillants pourraient également tirer parti de l’absence de clé d’accès. Vous devriez donc envisager des alternate options telles que l’application Microsoft Authenticator, qui ajoute une couche de sécurité supplémentaire au processus d’authentification avec des fonctionnalités telles que le déverrouillage biométrique. Il est également vulnérable aux attaques de phishing, où vous entrez la clé dans un faux web page Web et autorisez un pirate ou un robotic à action rapide à l’utiliser. Ils sont également ouverts à l’interception.

Vous devriez toujours utiliser 2FA

(Je sais que c’est ringard et que les illustrations or photos ne sont pas mon issue fort, mais cela ne semble pas juste sans maintenir le trope « tous les pirates portent des sweats à capuche dans les pièces sombres ».)

J’ai identifié des défauts avec chaque méthode mentionnée, et d’autres apparaîtront probablement avec le temps. Mais moreover vous avez de sécurité, mieux c’est. Vous devez utiliser à 100 % 2FA et d’autres méthodes comme un gestionnaire de mots de passe pour sécuriser vos comptes en ligne.

Il existe un équilibre entre la sécurité et la commodité, alors trouvez ce qui fonctionne pour vous. Peut-être que la méthode basée sur le matériel est exagérée ou quelque chose que vous êtes assuré de perdre. Les SMS ne sont peut-être pas aussi sécurisés qu’il y paraît, mais un peu d’effort est encore nécessaire pour le casser. Si vous n’êtes qu’un Joe moyen, vous ne vaudrez probablement pas la peine d’être ciblé individuellement, et l’authentification par SMS est quelque selected qui augmentera considérablement votre sécurité en ligne.

Examinez votre vie, évaluez ce que vous avez à perdre et déterminez l’effort que vous souhaitez y consacrer. Mais choisissez au moins une méthode 2FA (qui n’est pas basée sur les e-mails) et assurez-vous d’avoir un mot de passe différent pour chaque compte qui vous tient à cœur.



Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.