Lorsque l'authentification à deux facteurs a été introduite pour la première fois, elle a révolutionné la sécurité des appareils et contribué à rendre le vol d'identité beaucoup plus difficile, au prix d'inconvénients mineurs ajoutés aux connexions.
Contenu
- Qu'est-ce que l'authentification à deux facteurs exactement ?
- Cela semble assez sûr. Quel est le problème?
- Dois-je continuer à utiliser l'authentification à deux facteurs ?
- Comment améliorer l'authentification à deux facteurs ?
Mais ce n'est pas parfait, et cela n'a pas non plus résolu tous nos problèmes de piratage et de vol de données. Certaines nouvelles récentes ont fourni plus de contexte sur la façon dont les pirates ont contourné l'authentification à deux facteurs et érodé une partie de notre confiance en elle.
Qu'est-ce que l'authentification à deux facteurs exactement ?
L'authentification à deux facteurs ajoute une couche de sécurité supplémentaire au processus de connexion pour les appareils et les services. Auparavant, les connexions avaient un seul facteur d'authentification - généralement, un mot de passe ou une connexion biométrique comme une analyse d'empreintes digitales ou Face ID, parfois avec l'ajout de questions de sécurité. Cela offrait une certaine sécurité, mais c'était loin d'être parfait, en particulier avec des mots de passe faibles ou des mots de passe remplis automatiquement (ou si les bases de données de connexion sont piratées et que ces informations commencent à apparaître sur le dark web).
En rapport
- Voici pourquoi les gens disent d'éviter le MacBook Pro M2 Pro d'entrée de gamme
- L'authentification à deux facteurs par SMS de Twitter rencontre des problèmes. Voici comment changer de méthode
- Les mots de passe sont difficiles et les gens sont paresseux, selon un nouveau rapport
L'authentification à deux facteurs résout ces problèmes en ajoutant un deuxième facteur, une autre chose qu'une personne doit faire pour garantir que c'est bien elle et qu'elle a le droit d'accéder. En règle générale, cela signifie recevoir un code via un autre canal, comme recevoir un SMS ou un e-mail du service, que vous devez ensuite saisir.
Certains utilisent des codes sensibles au temps (TOTP, Time-Based One Time Password), et d'autres utilisent des codes uniques associés à un appareil spécifique (HOTP, HMAC-based One Time Password). Certaines versions commerciales peuvent même utiliser des clés physiques supplémentaires que vous devez avoir sous la main.
Vidéos recommandées
La fonctionnalité de sécurité est devenue si courante que vous avez probablement l'habitude de voir des messages du type "Nous vous avons envoyé un e-mail avec un code sécurisé à saisir, veuillez vérifier votre filtre anti-spam si vous ne l'avez pas reçu. C'est le plus courant pour les nouveaux appareils, et bien que cela prenne un peu de temps, c'est un énorme saut en matière de sécurité par rapport à un facteur méthodes. Mais il y a quelques défauts.
Cela semble assez sûr. Quel est le problème?
Un rapport est sorti récemment de la société de cybersécurité Sophos qui détaille une nouvelle façon surprenante qui les pirates ignorent l'authentification à deux facteurs: biscuits. Les mauvais acteurs ont « volé des cookies », ce qui leur donne accès à pratiquement n'importe quel type de navigateur, de service Web, de compte de messagerie ou même de fichier.
Comment ces cybercriminels obtiennent-ils ces cookies? Eh bien, Sophos note que le botnet Emotet est l'un de ces logiciels malveillants voleurs de cookies qui ciblent les données dans les navigateurs Google Chrome. Les gens peuvent également acheter des cookies volés sur des marchés souterrains, ce qui a été rendu célèbre dans la récente affaire EA où les informations de connexion se sont retrouvées sur un marché appelé Genesis. Le résultat a été 780 gigaoctets de données volées qui ont été utilisées pour tenter d'extorquer l'entreprise.
Bien qu'il s'agisse d'un cas très médiatisé, la méthode sous-jacente existe et montre que l'authentification à deux facteurs est loin d'être une solution miracle. Au-delà du simple vol de cookies, un certain nombre d'autres problèmes ont été identifiés au fil des ans :
- Si un pirate a obtenu votre nom d'utilisateur ou votre mot de passe pour un service, ils peuvent avoir accès à votre adresse e-mail (surtout si vous utilisez le même mot de passe) ou à votre numéro de téléphone. Ceci est particulièrement problématique pour l'authentification à deux facteurs par SMS/texte, car les numéros de téléphone sont faciles à trouver et peuvent être utilisés pour copier votre téléphone (entre autres astuces) et recevoir le code envoyé par SMS. Cela demande plus de travail, mais un pirate informatique déterminé a toujours une voie claire à suivre.
- Les applications distinctes pour l'authentification à deux facteurs, comme Google Auth ou Duo, sont beaucoup plus sécurisées, mais les taux d'adoption sont très faibles. Les gens ont tendance à ne pas vouloir télécharger une autre application uniquement à des fins de sécurité pour un seul service, et les organisations trouvent beaucoup plus facile de simplement demander "E-mail ou SMS?" plutôt que d'exiger des clients qu'ils téléchargent un application tierce. En d'autres termes, les meilleurs types d'authentification à deux facteurs ne sont pas vraiment utilisés.
- Parfois, les mots de passe sont trop faciles à réinitialiser. Les voleurs d'identité peuvent rassembler suffisamment d'informations sur un compte pour appeler le service client ou trouver d'autres moyens de demander un nouveau mot de passe. Cela contourne souvent toute authentification à deux facteurs impliquée et, lorsqu'elle fonctionne, elle permet aux voleurs d'accéder directement au compte.
- Les formes plus faibles d'authentification à deux facteurs offrent peu de protection contre les États-nations. Les gouvernements disposent d'outils qui peuvent facilement contrer l'authentification à deux facteurs, y compris la surveillance des messages SMS, la contrainte des opérateurs sans fil ou l'interception des codes d'authentification par d'autres moyens. Ce n'est pas une bonne nouvelle pour ceux qui veulent des moyens de garder leurs données privées des régimes plus totalitaires.
- De nombreux stratagèmes de vol de données contournent entièrement l'authentification à deux facteurs en se concentrant plutôt sur le fait de tromper les humains. Regarde juste toutes les tentatives de phishing qui prétendent provenir des banques, des agences gouvernementales, des fournisseurs d'accès Internet, etc., demandant des informations importantes sur le compte. Ces messages de phishing peuvent sembler très réels et peuvent impliquer quelque chose comme "Nous avons besoin de votre code d'authentification de notre côté afin que nous puissions également confirmer que vous êtes le titulaire du compte », ou d'autres astuces pour obtenir des codes.
Dois-je continuer à utiliser l'authentification à deux facteurs ?
Absolument. En fait, vous devez parcourir vos services et appareils et activer l'authentification à deux facteurs là où elle est disponible. Il offre une bien meilleure sécurité contre des problèmes comme le vol d'identité qu'un simple nom d'utilisateur et mot de passe.
Même l'authentification à deux facteurs basée sur SMS est bien meilleure que rien du tout. En fait, l'Institut national des normes et de la technologie a déjà recommandé de ne pas utiliser les SMS dans l'authentification à deux facteurs, mais ensuite annulé l'année suivante car, malgré les défauts, cela valait toujours la peine d'avoir.
Lorsque cela est possible, choisissez une méthode d'authentification qui n'est pas connectée aux messages texte et vous bénéficierez d'une meilleure forme de sécurité. Aussi, gardez vos mots de passe forts et utiliser un gestionnaire de mots de passe pour les générer pour les connexions si vous le pouvez.
Comment améliorer l'authentification à deux facteurs ?
S'éloigner de l'authentification par SMS est le grand projet en cours. Il est possible que l'authentification à deux facteurs passe à une poignée de applications tierces comme Duo, qui éliminent bon nombre des faiblesses associées au processus. Et davantage de champs à haut risque passeront à la MFA, ou authentification multifacteur, ce qui ajoute une troisième exigence, comme une empreinte digitale ou des questions de sécurité supplémentaires.
Mais la meilleure façon de résoudre les problèmes d'authentification à deux facteurs est d'introduire un aspect physique basé sur le matériel. Les entreprises et les agences gouvernementales commencent déjà à l'exiger pour certains niveaux d'accès. Dans un avenir proche, il y a de fortes chances que nous ayons tous des cartes d'authentification personnalisées dans nos portefeuilles, prêtes à glisser sur nos appareils lors de la connexion aux services. Cela peut sembler bizarre maintenant, mais avec le montée en flèche des attaques de cybersécurité, cela pourrait finir par être la solution la plus élégante.
Recommandations des éditeurs
- Pourquoi le Nvidia RTX 4060 Ti n'est tout simplement pas suffisant pour 2023
- Les rangs des hackers explosent – voici comment vous pouvez vous protéger
- Pourquoi Google Chrome Incognito Mode n'est pas ce qu'il prétend être
- Voici pourquoi les gens disent que le Nvidia RTX 4090 ne vaut pas la peine d'attendre
- Voici pourquoi les gens disent d'acheter le MacBook Air M1 au lieu du M2
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde trépidant de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
