Principal Logiciel Simplifiez-vous l'authentification à deux facteurs avec une application
Logiciel

Simplifiez-vous l'authentification à deux facteurs avec une application

ParGlenn Fleishman,Contributeur principal, 29 octobre 2014 20 h 03 HAP

J'ai mis l'accent sur l'authentification à deux facteurs (2FA), ou la vérification en deux étapes, dans mes premières colonnes ici à Private I, car je pense que la plupart des gens évitent d'utiliser cette protection supplémentaire pour leurs comptes en raison de l'agitation et de la gestion, et peuvent pense que cela les empêchera d'accéder ou nécessitera une étape supplémentaire lorsque cela n'est pas nécessaire.

Mais 2FA n'est pas un parcours d'obstacles avec des puits sans fond. Cela ressemble plus à un vaccin contre la grippe. Si vous ne vous sentez pas malade et que vous ne craignez pas de tomber malade, vous pouvez sauter l'inoculation. Cela vous fait beaucoup de bien lorsque vous êtes allongé pendant deux semaines avec des courbatures et de la fièvre avec l'une des souches couvertes par le vaccin actuel et que vous avez infecté tous vos collègues.

De même, comme pour les sauvegardes, la précaution n'est pas agréable du tout - ce n'est que lorsque vous auriez pu faire craquer votre compte, et que vous ne l'avez pas fait, que vous ressentez le doux soulagement. Lorsque vous commencez à recevoir une série de messages de réinitialisation de mot de passe en toute sécurité, sachant que sans ce deuxième facteur, quelqu'un ne peut pas accéder à votre compte ? Quand vous entendez parler d'une vague de cracks de mots de passe et que vous n'êtes pas concerné ? C'est un baume.



comment utiliser macbook comme moniteur

Les systèmes 2FA modernes destinés aux consommateurs et aux petites entreprises, et beaucoup pour les entreprises, évitent l'utilisation de télécommandes et d'autres clés matérielles. Entre autres choses, vous en aviez généralement besoin d'un par site Web ou entreprise ! J'ai toujours des doohickeys eBay/PayPal et boursiers, et bien que je ne les ai pas perdus, c'est une chose que je dois suivre et garder en sécurité. Au lieu de cela, la plupart des services nécessitent ou proposent en option l'utilisation d'une application d'authentification qui crée un code à usage limité.

Les applications l'emportent sur les SMS

Google a proposé l'une des premières applications de ce type largement utilisées, Authentificateur Google , pour permettre aux gens ordinaires d'utiliser 2FA sans dépendre de la transmission de SMS. Les SMS ne sont pas considérés comme hautement sécurisés : il existe plusieurs façons pour les personnes ou les institutions d'intercepter les SMS, que ce soit par voie hertzienne ou via des systèmes centralisés. (JE

L'application de DuoSec peut à la fois générer des jetons de sécurité à l'aide du protocole largement adopté de Google, ainsi que transmettre des messages d'authentification directe avec son propre système.

Ces risques sont minimes ou inexistants pour la plupart (pas tous) d'entre nous, mais SMS a beaucoup de limites et de bizarreries. J'ai parfois vu des messages s'afficher 30 minutes après qu'un service les ait apparemment envoyés, ou jamais. Si vous voyagez en dehors de votre pays ou région de service cellulaire d'origine, vous pourriez payer une petite fortune pour chaque SMS, ou être incapable de recevoir des SMS du tout. Vous êtes peut-être dans une région rurale avec un service Internet et aucune couverture cellulaire, ce qui m'est arrivé un nombre surprenant de fois pendant les vacances. Les applications d'authentification sont une bonne alternative pour toutes ces raisons.

Chaque site semble avoir une procédure différente pour configurer 2FA avec une application d'authentification, et de nombreux sites offrent le choix entre un code basé sur une application ou un SMS. Certains autorisent les deux. Twitter est le seul excentrique, offrant soit l'utilisation de SMS, soit son application Twitter développée en interne, mais pas d'applications tierces. (La vérification en deux étapes d'Apple nécessite un numéro de téléphone compatible SMS ainsi que des appareils de confiance, et gère l'authentification à l'aide de ses propres moyens propriétaires, que ce soit dans iCloud, iOS ou Mac OS X.)

l'iphone déverrouillé fonctionnera-t-il sur verizon

Maîtres de code

Authentificateur Google, Authie, et Sécurité DuoSec tous prennent en charge le protocole de jeton standard de Google, qui vous permet d'accepter une clé de départ d'un site que vous sécurisez avec une vérification en deux étapes, puis les applications dérivent un code à six chiffres à l'aide de la clé et de l'heure actuelle ou d'un compteur incrémentable. D'après mon expérience, je n'ai vu que les codes basés sur le temps, qui se renouvellent toutes les 30 secondes. Les compteurs ne peuvent être utilisés qu'une seule fois ; les codes basés sur le temps ne sont valables que dans une fenêtre étroite. (Google Authenticator est gratuit ; les logiciels des autres sont gratuits pour un usage de base ou personnel, et ils gagnent leur argent grâce aux utilisateurs des petites entreprises et des entreprises.)

La propre application de Facebook peut également générer des codes.

Beaucoup, beaucoup de sites prend en charge le protocole de Google et donc toute application d'authentification compatible. Les entreprises bien connues incluent Amazon Web Services, Dropbox, Facebook, Hover, LastPass, Linode et Tumblr, pour n'en nommer que quelques-unes.

Pour semer le code, les sites génèrent généralement un code QR, une balise 2D qui code les informations et qui a été la cible de nombreuses blagues. (Ils sont gros au Japon !) Mais c'est un moyen efficace d'obtenir un tas de caractères ou de chiffres aléatoires d'un écran et dans un téléphone. Certains sites fourniront également le code écrit sous forme de lettres et de chiffres ASCII. (La clé représentée a une longueur de 80 bits.) Les applications reposent sur la sécurité de vos appareils et n'ont pas de mécanismes de sécurité secondaires activés par défaut. Seul Authy autorise un code d'accès ou un Touch ID pour sécuriser l'application, mais vous devez l'activer.

comment connecter une manette xbox one sans fil

Vous vous connectez avec votre mot de passe, êtes invité à saisir le deuxième facteur, lancez l'application et entrez le code correspondant. De nombreux sites, une fois que vous avez configuré une application d'authentification et que vous l'avez utilisée pour valider votre connexion, vous permettent de marquer les navigateurs ou les appareils comme étant de confiance, pour toujours ou pour une période de temps, généralement de 30 jours. La plupart des sites avec 2FA de tout type vous permettent de révoquer ou de vous déconnecter de tous les appareils ou navigateurs de confiance en un clic à partir des paramètres de sécurité du site, au cas où vous craignez d'avoir été compromis ou que quelqu'un ait eu accès à un ordinateur ou un mobile que vous pensiez être sous votre contrôler. (Cela est vrai que vous utilisiez ou non une application d'authentification.)

Désavantages

Le principal problème avec ces applications d'authentification ? Perdre les clés qui vous permettent de générer les codes ! J'ai découvert cela à la dure après avoir utilisé pour la première fois Google Authenticator et avoir dû restaurer mon téléphone. Même si j'avais une sauvegarde complète, Authenticator n'enregistre pas les clés de manière à pouvoir être restaurées, même avec une sauvegarde iOS complète protégée par mot de passe iTunes. Vous devez ressaisir vos clés.

Authentique

Des applications comme Authy fonctionnent avec un certain nombre de sites, et même sur plusieurs plates-formes.

Authy évite ce problème en synchronisant les données entre les appareils enregistrés sur le même compte et en sauvegardant les clés et autres paramètres dans le cloud. Ceci est pratique et impose remarquablement peu de risques supplémentaires, même si leurs mesures de sécurité sont d'une manière ou d'une autre surmontées. Parce que vous ne synchronisez qu'un seul facteur, un autre avantage du 2FA. (Quelqu'un pourrait éventuellement récupérer votre mot de passe Authy, mais il aurait également besoin de l'un de vos appareils de confiance, que vous pourriez protéger avec un code PIN ou une empreinte digitale distinct. Les chances que cela se termine sont assez minces.)

Indépendamment d'Authy, vous devez vous assurer d'avoir un plan de sauvegarde distinct. Selon le service que vous utilisez, un code de récupération, des codes de connexion à usage unique ou un moyen de stocker la clé initiale vous seront proposés. Assurez-vous et cryptez-les afin que quelqu'un ayant accès à un mot de passe ou à votre ordinateur ne puisse pas non plus accéder à vos détails de récupération 2FA ! J'utilise Yojimbo et 1Password, qui ont tous deux des options de cryptage solides, et j'ai choisi des mots de passe uniques et solides.

Si vous avez retardé l'activation de 2FA à cause de l'agitation, j'espère que ces applications d'authentification vous donneront la confiance nécessaire pour ajouter un autre facteur. C'est comme avaler votre médicament, mais c'est le moyen le plus sûr d'augmenter votre immunité de sécurité personnelle - pas parfaitement, mais une solide augmentation - et de garder vos comptes pour vous.