2FA – Le Facteur Double d’Authentification

Aujourd’hui, le couple Login / Mot de Passe reste la meilleure solution pour se connecter à n’importe quel site internet ou logiciel. Mais la technologie d’aujourd’hui permet de percer ce système assez facilement.

Comme par exemple, de calculer des milliers de combinaisons possible par seconde, d’effectuer des attaques de type ‘MAN IN THE MIDDLE’ ou d’innover par une nouvelle attaque

Une autre méthode pour récupérer votre couple Login/Mot de Passe est simplement l’attaque par Phising, méthode usurpant l’identité d’un site et jouant sur la crédulité de l’utilisateur.

Comment sécuriser cela ?

Cet article est le préquel d’un petit ensemble d’autres qui parleront de différentes méthodes de Double Authentification. Concernant la sécurité de votre mot de passe, je vous invite à lire mon précédent billet :
368dvQsgT0! – Le mot de passe complexe à retenir, mais facile à craquer

Le 2FA Kézako ?

Le concept est simple : une fois le 2FA activé, en plus de votre mot de passe, on vous demandera un code unique valide sur une durée très limitée (30 secondes environ). Ce code unique est envoyé soit par Email, SMS, ou par application (application du service, comme votre banque, ou alors une application dédiée).

Activer l’authentification double facteur est nécessaire lorsqu’il est disponible, car en cas de vol de mot de passe, il n’y a plus de barrière qui s’oppose à la personne qui veut se connecter sur l’un de vos comptes.

Imaginez les conséquences dramatiques que cela peut apporter, comme le vol d’argent (PayPal, la banque…), ou l’usurpation d’identité (Twitter, Facebook, Mastodon, votre e-mail …).

Quelques types de 2nd Facteur d’Authentification

Cet ensemble de type de 2FA n’est pas exhaustive, nous reviendrons en détails sur certains dans des articles dédiés (les liens seront ajoutés au fur et à mesure)

  • Code Unique par EMail
  • Code Unique par SMS
  • Le standard TOTP (Mon préféré)
  • La norme U2F
  • Le dongle RSA (SecurID)
  • Le Steam Shield (Spécifique à Steam)
  • L’approbation par téléphone ANDROID (la puissance de Google)

N’utilisez pas n’importe lequel !

Juste pour vous teaser dans la suite des articles, je vous recommande soit le gestionnaire de mots de passe BitWarden (qui permet d’user du Standard TOTP) ou l’application Authy, simple et sécurisée.

Ainsi, si l’option est disponible, n’hésitez pas à activer votre 2FA !