Il est temps d'arrêter d'utiliser SMS et les applications 2FA pour l'authentification à deux facteurs
De nos jours, il semble que tous les sites Web que vous avez visités tentent de vous encourager à utiliser l'authentification à deux facteurs (2FA)..
L'un des moyens les plus courants d'utiliser 2FA consiste à saisir un code unique à partir de votre appareil mobile. En règle générale, vous recevez le code dans un message texte ou vous utilisez une application tierce tierce pour en générer un..
Les deux méthodes sont deux méthodes populaires d’utilisation des codes en raison de leur commodité. Cependant, les deux méthodes sont également faibles du point de vue de la sécurité. Et comme votre code 2FA est aussi sécurisé que la technologie utilisée pour le fournir, les faiblesses sont importantes..
Alors, quel est le problème avec l'utilisation de SMS et d'applications tierces pour accéder à vos codes? Et existe-t-il une alternative tout aussi pratique et plus sûre? Nous allons tout expliquer. Continuez votre lecture pour en savoir plus.
Comment fonctionne l'authentification à deux facteurs
Prenons un moment pour discuter du fonctionnement de l'authentification à deux facteurs. Sans comprendre les mécanismes de la technologie, le reste de cet article n’a pas beaucoup de sens..
De manière générale, 2FA ajoute une couche de sécurité supplémentaire à votre compte. Également appelée authentification multi-facteurs, les informations de connexion se composent non seulement d'un mot de passe, mais également d'une deuxième information à laquelle seul le propriétaire légitime du compte a accès..
2FA se présente sous différentes formes. Avantages et inconvénients des types et méthodes d'authentification à deux facteurs Avantages et inconvénients des types et méthodes d'authentification à deux facteurs. Les méthodes d'authentification à deux facteurs ne sont pas créées égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et des méthodes qui répondent le mieux à vos besoins. Lire la suite . Au niveau le plus élémentaire, cela pourrait être quelque chose d'aussi simple que des questions de sécurité (car personne d'autre ne pourrait connaître le nom de jeune fille de votre mère. Pourquoi vous répondez à des questions de sécurité de mot de passe incorrectes Pourquoi vous répondez à des questions de sécurité de mot de passe erronées Questions de sécurité des comptes? Réponses honnêtes? Malheureusement, votre honnêteté pourrait créer une faille dans votre armure en ligne. Voyons comment répondre en toute sécurité aux questions de sécurité. Lisez Plus ou votre animal de compagnie préféré). À la fin plus compliquée, il pourrait s’agir d’une identification biométrique telle qu’un scan de la rétine ou une empreinte digitale..
Pourquoi éviter la vérification par SMS
SMS est considéré comme le moyen le plus accessible d’accéder aux codes 2FA et de les utiliser. Si un site propose des connexions avec authentification à deux facteurs, il propose presque certainement SMS parmi les options..
Mais SMS n’est pas un moyen sûr d’utiliser 2FA. Il a deux vulnérabilités principales.
Tout d'abord, la technologie est sensible aux attaques par échange de cartes SIM. Cela ne prend pas beaucoup pour un pirate informatique d’effectuer un échange de carte SIM. S'ils ont accès à une autre information personnelle, telle que votre numéro de sécurité sociale, ils peuvent appeler votre opérateur et transférer votre numéro sur une nouvelle carte SIM..
Deuxièmement, les pirates peuvent intercepter les SMS. Tout cela revient au système de routage téléphonique SS7 (Signalling System No. 7) désormais obsolète. La méthodologie a été conçue en 1975 mais est encore utilisée presque globalement pour connecter et déconnecter des appels. Il gère également les conversions de numéros, la facturation prépayée et, surtout, les messages SMS..
Sans surprise, cette technologie de 1975 est pleine de failles de sécurité. Voici comment l'expert en sécurité Bruce Schneier a décrit les failles:
“Si les assaillants ont accès à un portail SS7, ils peuvent transférer vos conversations sur un périphérique d'enregistrement en ligne et rediriger l'appel vers la destination souhaitée […]. Cela signifie qu'un criminel bien équipé peut saisir vos messages de vérification et les utiliser avant même les vu.”
Bien sûr, découvrir qu'un cybercriminel a piraté votre Facebook Comment savoir si votre compte Facebook a été piraté? Comment savoir si votre compte Facebook a été piraté Étant donné la quantité de données que nous avons ajoutées à nos profils, il est plus important que jamais pour vous assurer de rester au-dessus des paramètres de confidentialité de Facebook. Lire la suite compte est loin d'être idéal. Mais la situation est plus effrayante si l’on considère d’autres utilisations du 2FA. Un cybercriminel pourrait voler les codes que vous utilisez dans vos opérations bancaires en ligne ou même initier et effectuer des transferts d'argent. 6 applications pour vous aider à transférer de l'argent entre amis 6 applications pour vous aider à transférer de l'argent entre amis Parfois, vous devez envoyer de l'argent à des amis rapidement et en toute sécurité. . Voici six des meilleures options disponibles. Lire la suite .
En outre, Schneier affirme également que n'importe qui peut acheter un accès au réseau SS7 pour environ 1 000 dollars. Une fois qu'ils ont accès, ils peuvent envoyer une demande de routage. Pour résoudre le problème, le réseau peut ne pas authentifier la source de la demande..
N'oubliez pas qu'il est préférable d'utiliser une authentification à deux facteurs par SMS que de laisser 2FA désactivé. Et il est peu probable que vous deveniez une victime. Cependant, si vous commencez à vous sentir un peu inquiet, vous devez continuer à lire. De nombreuses personnes acceptent que les SMS ne sont pas sécurisés et se tournent plutôt vers des applications tierces..
Mais cela peut ne pas être beaucoup mieux.
Pourquoi éviter les applications 2FA
L'autre moyen courant d'utiliser les codes 2FA consiste à installer une application smartphone dédiée. Il y a beaucoup de choix. Google Authenticator est sans doute le plus reconnaissable, mais ce n'est pas nécessairement le meilleur. Authy, Authenticator Plus et Duo offrent de nombreuses alternatives..
Mais quelle est la sécurité des applications spécialisées 2FA? Leur plus grande faiblesse est leur recours à une clé secrète.
Faisons un pas en arrière pendant une seconde. Au cas où vous ne le sauriez pas, lorsque vous vous inscrirez à de nombreuses applications pour la première fois, vous devrez entrer une clé secrète. Le secret est partagé entre vous et le fournisseur de l'application.
Lorsque vous accédez à un site, le code créé par l'application est basé sur une combinaison de votre clé et de l'heure actuelle. Au même moment, le serveur génère un code en utilisant les mêmes informations. Les deux codes doivent correspondre pour que l'accès soit autorisé. Semble raisonnable.
Alors pourquoi les clés sont-elles le point faible? Que se passe-t-il si un cybercriminel parvient à accéder à la base de données de mots de passe et secrets d'une entreprise? Comment vérifier si quelqu'un d'autre accède à votre compte Facebook Comment vérifier si quelqu'un d'autre accède à votre compte Facebook Il est à la fois sinistre et inquiétant de voir si quelqu'un a accès à votre compte Facebook sans votre connaissance. Voici comment savoir si vous avez été victime d'une violation. Lire plus à volonté.
Deuxièmement, le secret est affiché soit en texte brut, soit sous forme de code QR. Il ne peut pas être haché ni utilisé avec un sel. Ce que tout cela MD5 signifie en réalité [Technologie expliquée] Ce que tout ce MD5 hachage signifie réellement [Technologie Expliqué] Voici un aperçu complet de MD5, le hachage et un petit aperçu des ordinateurs et cryptographie. Lire la suite . C'est probablement aussi en clair sur les serveurs de l'entreprise.
La clé secrète est la faille fondamentale du mot de passe unique basé sur le temps utilisé par les applications spécialisées. C'est pourquoi une clé physique U2F est toujours une option plus sécurisée.
Des défauts de conception et de sécurité pour les applications 2FA
Bien sûr, les chances d'un cybercriminel de pirater les bases de données nécessaires d'une application tierce sont assez minimes. Mais votre application pourrait également souffrir de failles de sécurité élémentaires dans sa conception..
Gestionnaire de mots de passe populaire LastPass 8 façons simples de surcharger votre sécurité LastPass 8 façons simples de surcharger votre sécurité LastPass Vous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l’utilisez-vous correctement? Voici huit étapes à suivre pour rendre votre compte LastPass encore plus sécurisé. Read More a été victime en décembre 2017. Un blog de programmeur sur Medium a révélé que les clés secrètes 2FA étaient accessibles sans empreinte digitale, mot de passe ou autres mesures de sécurité..
La solution de contournement n'était même pas compliquée. En accédant à l'activité des paramètres de l'application LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), il est possible d'entrer dans le volet des paramètres de l'application sans aucune vérification. De là, vous pouvez appuyer sur Retour une fois pour accéder à tous les codes 2FA.
LastPass a corrigé la faille, mais des questions subsistent. Selon le programmeur, il avait essayé de parler du problème à LastPass pendant sept mois, mais la société ne l’a jamais résolu. Combien d'autres applications 2FA tierces ne sont pas sécurisées? Et combien de vulnérabilités non résolues les développeurs connaissent-ils, mais retardent-ils le correctif? Il est également préoccupant de perdre l’accès à votre générateur de code sur Facebook. Comment vous connecter à Facebook si vous avez perdu l’accès à Générateur de code. Comment vous connecter à Facebook si vous avez perdu l’accès à Générateur de code. Que faire si vous ne pouvez pas vous connecter à Facebook sur votre nouvel ordinateur parce que vous n'avez pas accès au générateur de code sur votre téléphone? Lire plus par exemple.
Que faire à la place: utilisez les clés U2F
Au lieu de compter sur SMS et 2FA pour vos codes, vous devez utiliser les clés universelles 2nd Factor. Quelles sont les clés U2F et où sont-elles prises en charge? Que sont les clés U2F et où sont-elles prises en charge? Les clés U2F sont l’un des meilleurs moyens de protéger vos comptes. Mais où les clés U2F sont-elles prises en charge? Lire la suite (U2F). Ils constituent le moyen le plus sûr de générer des codes et d’accéder à vos services..
Largement considéré comme une version de deuxième génération de 2FA, il simplifie et renforce le protocole actuel. De plus, l’utilisation des touches U2F est presque aussi pratique que d’ouvrir un message SMS ou une application tierce..
Les clés U2F utilisent une connexion NFC ou USB. Lorsque vous connectez votre appareil à un compte pour la première fois, il génère un nombre aléatoire appelé un “Nonce.” La Nonce est hachée avec le nom de domaine du site pour créer un code unique.
Ensuite, vous pouvez déployer votre clé U2F en la connectant à votre appareil et en attendant que le service la reconnaisse..
Alors, quel est l'inconvénient? Bien que U2F soit un standard ouvert, l’achat d’une clé physique U2F coûte toujours de l’argent. Et peut-être plus inquiétant, vous êtes à risque de vol.
Une clé U2F volée ne rend pas votre compte non sécurisé automatiquement; un pirate informatique aurait toujours besoin de connaître votre mot de passe. Mais dans une zone publique, un voleur aurait peut-être déjà vu votre mot de passe entrer de loin, avant de voler vos biens.
Les clés U2F peuvent être coûteuses
Les prix varient considérablement d'un fabricant à l'autre, mais vous pouvez vous attendre à payer entre 15 et 50 dollars environ..
Idéalement, vous voulez acheter un modèle qui “Certifié FIDO.” L’alliance FIDO (Fast IDentity Online) est chargée de réaliser l’interopérabilité entre les technologies d’authentification. Les membres comprennent tout le monde, de Google à Microsoft, en passant par Bank of America et MasterCard..
En achetant un appareil FIDO, vous pouvez être sûr que votre clé U2F fonctionnera avec tous les services que vous utilisez tous les jours. Consultez la clé DIGIPASS SecureClick U2F si vous souhaitez en acheter une..
Digipass SecureClick FIDO U2F Clé de sécurité Digipass SecureClick FIDO U2F Clé de sécurité Acheter maintenant sur Amazon
Insécurité 2FA est toujours mieux que pas 2FA
En résumé, les clés universelles 2nd Factor offrent un juste milieu entre facilité d'utilisation et sécurité. SMS est l'approche la moins sécurisée, mais c'est aussi la plus pratique.
Et rappelez-vous, tout 2FA est meilleur que aucun 2FA. Oui, cela peut prendre 10 secondes supplémentaires pour vous connecter à certaines applications, mais c'est mieux que de sacrifier votre sécurité..
En savoir plus sur: la sécurité en ligne, l'authentification à deux facteurs.