Quel est le système d’accès à un compte avec un mot de passe fixe et un mot de passe variable ? Quelle est la solution la plus sûre ?
Adieu l’époque où un mot de passe suffisait pour se sentir en sécurité et empêcher des personnes malveillantes d’accéder à un compte social, une boîte e-mail, un compte courant en ligne. L’expérience nous apprend qu’aujourd’hui, c’est un jeu d’enfant pour un pirate informatique de franchir une barrière d’entrée traditionnelle. Voici donc qu’il y a quelque temps lel’authentification à deux facteurs : qu’est-ce que c’est et pourquoi l’activer?
S’il vous arrive de visiter la Cène à Milan pour admirer la Cène de Léonard, vous remarquerez qu’on vous demande deux fois la même chose à deux endroits différents pour entrer dans le célèbre réfectoire de Santa Maria delle Grazie, c’est votre identité . La première à la billetterie : vous devrez dire votre nom et présenter un document lors du retrait du billet réservé. Vous ferez quelques pas et vous arriverez à l’entrée de la Dernière Cène. Ici, pour la deuxième fois, ils vous demanderont votre nom et il faudra montrer à nouveau le document, même si le ticket en main certifie que vous avez déjà révélé votre identité. Une double authentification pour avoir la certitude que c’est bien vous qui entrez dans le cloître d’où vous pourrez accéder au chef-d’œuvre de Léonard.
Dans le monde numérique, il se passe la même chose que dans l’exemple qui vient d’être fait : il est possible d’activer un service en ligne pour que l’identité de celui qui essaie d’accéder à n’importe quel compte soit demandée non pas une mais deux fois. De cette façon vous aurez une double barrière qui compliquera la vie des intrus. Mais voyons en détail que Qu’est-ce que l’authentification à deux facteurs et pourquoi l’activer.
Authentification à deux facteurs – Qu’est-ce que c’est ?
L’authentification à deux facteurségalement appelée authentification forte ou 2FA (authentification à deux facteurs) est le système le plus sécurisé dont vous disposez actuellement pour protéger un compte, que ce soit celle des réseaux sociaux, de l’e-mail, de la banque, de la sécurité sociale ou du receveur fiscal, etc. En pratique, pour pouvoir se connecter, il faudra insérer deux éléments différents, suivant la logique du « facteur connu » et du « facteur aléatoire ».
La facteur connu c’est celui que l’utilisateur définit comme premier mot de passe à entrer au moment de l’accès. Une fois entré, le système enverra par SMS ou demandera de générer le «facteur aléatoire», c’est un code à signaler sur la page de connexion. Ce facteur aléatoire ne sera nécessaire qu’une seule fois (il est généralement valide pendant environ 30 secondes, après quoi il est désactivé). Cela signifie que pour accéder à nouveau au compte, vous devrez :
- entrez le premier mot de passe, c’est-à-dire celui que vous connaissez ;
- attendez de recevoir le nouveau code aléatoire pour terminer la demande de connexion.
Il est clair que, de cette manière, vous avez de plus grandes garanties de sécurité, car même si quelqu’un connaissait le mot de passe, il ne pourrait pas se faufiler dans le compte sans le deuxième facteur que seul l’utilisateur peut connaître.
Vous pensez peut-être, à ce stade, que la garantie de sécurité n’est pas à 100 % et vous avez tout à fait raison. Il y a, en effet, une situation qui peut faire exploser l’efficacité de l’authentification à deux facteurs : la vol de votre téléphone portable ou de votre jeton. Si l’attaquant qui connaît votre mot de passe était en possession de votre téléphone mobile sur lequel vous recevrez le deuxième facteur ou le jeton avec lequel le générer, il pourrait être en mesure d’entrer dans votre compte par la porte d’entrée.
Une façon d’éviter que cela ne se produise est de changer fréquemment le mot de passe (le premier facteur) ou de définir un élément de type biométriquecomme une empreinte digitale ou une reconnaissance faciale.
Authentification à deux facteurs : comment obtenir le deuxième élément
La façon la plus courante de obtenir le deuxième élément et pouvoir vous connecter à votre compte avec autorisation à deux facteurs est celui du message par SMS. Une fois le mot de passe saisi, le système génère un code aléatoire et l’envoie sur le téléphone portable de l’utilisateur, afin que l’utilisateur puisse terminer la procédure.
Ce n’est cependant pas la pratique la plus sûre. Aujourd’hui, les pirates parviennent à transférer un numéro de téléphone d’un Sim (celui de l’utilisateur) à un autre (celui du pirate) grâce à l’arnaque connue sous le nom de Fraude à l’échange de Sim. Le porteur de la SIM « détournée » verra que son téléphone portable n’a pas de réseau. Résultat : le code d’accès sera lisible par l’attaquant qui, s’il est en possession du mot de passe, pourra entrer dans le compte, par exemple, d’un compte courant et le vider en quelques secondes, avant même que le propriétaire légitime ne se rende compte de quoi il se passe.
Mieux vaut donc choisir une application dédié parmi ceux qui sont définis « jeton soupleParce qu’ils fonctionnent sur un téléphone mobile comme cet appareil que les banques fournissent à leurs clients sur demande pour consulter leur compte depuis chez eux. Parmi ceux-ci, les plus connus (et gratuits) sont Authy, Google Authenticator et Microsoft Authenticator.
Et puis, bien sûr, il y a les jetons réels fournis par la banque. Des appareils qui ont aujourd’hui évolué par rapport au passé et qui sont équipés des technologies anti-fraude les plus avancées.
Authentification à deux facteurs : comment l’activer ?
Activer authentification à deux facteurs Tout d’abord, vous devez vous inscrire sur le site sur lequel vous souhaitez ouvrir le compte et accéder au «Les paramètres de sécurité« . Ici, vous pouvez choisir d’activer la double authentification et le mode dans lequel vous souhaitez recevoir le deuxième facteur.
Par la suite, vous devrez indiquer le numéro de mobile auquel envoyer la double authentification dans le cas où vous optez pour le SMS ou l’application qui servira à récupérer le code de temps en temps. L’application s’appairera avec le site via un QRcode à encadrer avec le téléphone mobile.
L’authentification à deux facteurs est acceptée (dans certains cas même imposée) par les principaux sites sociaux ou de e-commerce : d’Amazon à Microsoft, d’Aple à Google, de Facebook à LinkedIn ou Twitter, de PayPal aux banques ou sociétés qui gèrent les cartes de crédit , etc.
