Les fuites et les piratages dont nous avons entendu parler ces dernières années montrent clairement que les mots de passe seuls ne fournissent pas une sécurité suffisante pour protéger votre compte bancaire en ligne ou vos comptes de réseaux sociaux. Authentification à deux facteurs (2FA ou MFA, pour authentification multifacteur) ajoute une autre couche de protection, et les rédacteurs de PCMag exhortent fréquemment notre public à l’utiliser. Les applications d’authentification, telles que Authy, Google Authenticator ou Microsoft Authenticator, activent l’une des formes les plus sécurisées de 2FA. L’utilisation de l’une de ces applications peut même vous aider à vous protéger contre les attaques furtives telles que le stalkerware.
Qu’est-ce que l’authentification à deux facteurs ?
Comme son nom l’indique, il s’agit simplement d’utiliser plus qu’un simple mot de passe pour accéder à votre compte ou à votre application en ligne, en ajoutant un autre facteur en plus de ce mot de passe. Les experts classent les facteurs d’authentification en trois groupes : quelque chose que vous connaissez (un mot de passe, par exemple), quelque chose que vous possédez (un objet physique) et quelque chose que vous êtes (une empreinte digitale ou un autre trait biométrique). Lorsque vous utilisez l’une des applications d’authentification incluses ici, vous renforcez le mot de passe que vous connaître avec le jeton, le smartphone ou la montre connectée que vous ont.
Quel est le meilleur type d’authentification à deux facteurs ?
Oui, vous pouvez mettre en œuvre l’AMF simplement en demandant à votre site bancaire de vous envoyer un message texte avec un code que vous entrez ensuite sur le site pour y accéder. Cependant, cela s’avère ne pas être la meilleure façon de faire du 2FA. Une vulnérabilité dans la messagerie SMS a récemment été révélée qui permet aux escrocs de rediriger les messages texte. Une application d’authentification sur votre smartphone génère des codes qui ne transitent jamais par votre réseau mobile, avec le potentiel d’exposition et de compromis que cela implique.
Vous configurez l’authentification sur la page des paramètres de sécurité d’un site, dans la section Authentification à deux facteurs ou à plusieurs facteurs. Presque tous les sites financiers proposent cette option. Vous pouvez découvrir quels sites offrent des options d’authentification multifacteur dans notre histoire, Authentification à deux facteurs : qui l’a et comment le configurer. Vous pouvez y lire les processus de configuration de 2FA pour les principaux services d’Amazon à Yahoo.
La plupart des sites proposent l’option de code SMS simple, mais allez-y et recherchez la prise en charge de l’application d’authentification. La configuration de 2FA implique généralement de scanner un code QR sur le site avec l’application d’authentification de votre téléphone. Notez que vous pouvez scanner le code sur plusieurs téléphones, si vous souhaitez une sauvegarde. Vous devez également enregistrer les codes de récupération de compte fournis par les sites et les stocker dans un endroit sûr, comme dans un gestionnaire de mots de passe.
Comment fonctionnent les applications d’authentification
Après cela, chaque fois que vous vous connectez au site à partir d’un appareil inconnu, vous devez ouvrir l’application Authenticator, la déverrouiller et trouver l’entrée du site. Les applications d’authentification génèrent des codes d’accès temporels à usage unique (TOTP ou OTP), à six chiffres qui s’actualisent toutes les 30 secondes. Vous entrez ou collez ceci dans l’application ou le site sécurisé, et voilà, vous y êtes. La limite de temps signifie que, si un malfaiteur parvient à obtenir votre code d’accès à usage unique, cela ne fonctionnera pas pour lui après ces 30 secondes.
Les codes sont générés en effectuant des calculs sur un long code transmis par ce scan QR et l’heure actuelle, à l’aide d’un algorithme standard de mot de passe à usage unique basé sur HMAC (HOTP), sanctionné par l’Internet Engineering Task Force (IETF). Ces applications n’ont aucun accès à vos comptes, et après le transfert de code initial, elles ne communiquent pas avec le site ; ils génèrent simplement et bêtement les codes. Vous n’avez même pas besoin d’un service téléphonique pour qu’ils fonctionnent.
Étant donné que le protocole utilisé par ces produits est généralement basé sur la même norme, vous pouvez, par exemple, utiliser Microsoft Authenticator pour accéder à votre compte Google ou vice versa. Bien que Microsoft Authenticator ajoute des options de connexion pratiques pour ses services, tels qu’Office, Outlook et OneDrive.
Que rechercher dans une application d’authentification
Une chose à rechercher lors du choix de l’une de ces applications est de savoir si elle sauvegarde les informations du compte (cryptées, bien sûr) au cas où vous n’auriez plus le téléphone sur lequel vous avez tout configuré. Authy, Duo Mobile, LastPass Authenticator et Microsoft Authenticator le proposent, contrairement à Google Authenticator.
Dans un gain de sécurité pour le système d’exploitation mobile de Google, Android empêche quiconque de prendre des captures d’écran pendant que vous avez ouvert une application d’authentification, alors qu’iOS le permet.
Pour une sécurité encore plus complète, vous pouvez implémenter MFA avec un appareil dédié, tel que YubiKey. Ces appareils produisent des codes qui sont transmis via NFC, Bluetooth ou lorsque vous les branchez directement sur un port USB. Contrairement aux smartphones, ceux-ci ont l’avantage d’être des appareils à usage unique et à sécurité renforcée. Bien que peu probable, il est possible qu’une application infestée de logiciels malveillants exécutée sur votre téléphone puisse intercepter les codes d’authentification produits par l’application d’authentification d’un téléphone. Les clés de sécurité n’ont pas de piles, pas de pièces mobiles, sont extrêmement durables et ne nécessitent pas de connexion Internet, mais elles ne sont pas aussi pratiques à utiliser que votre téléphone.
Authy et Microsoft Authenticator proposent également des applications Apple Watch, pour encore plus de commodité, ce qui manque à Google Authenticator et LastPass. Avec environ 36 millions de ces appareils WatchOS vendus rien qu’en 2020 (c’est 14 millions de plus que les ordinateurs Apple Mac vendus), c’est une commodité dont beaucoup de gens peuvent profiter.
Donc, pour résumer : (1) Vous devrait utilisez l’authentification multifacteur pour tous vos comptes en ligne. (2) Les applications d’authentification offrent une meilleure sécurité que les codes SMS. (3) Consultez nos résumés des applications d’authentification les plus populaires ci-dessous et commencez à configurer vos comptes avec celle qui vous intéresse. Enfin, faites-nous part de vos réflexions sur ces applications et les problèmes de sécurité associés dans les commentaires ci-dessous.
Duo Mobile est destiné aux applications d’entreprise, surtout maintenant qu’il fait partie du portefeuille de Cisco. L’application offre des fonctionnalités d’entreprise, telles que des options de déploiement multi-utilisateurs et l’approvisionnement et l’authentification push en un clic, en plus des codes d’accès à usage unique mentionnés ci-dessus. Une bonne touche de sécurité est que vous ne pouvez pas capturer l’interface Duo sur Android (mais vous le pouvez sur iOS). Vous pouvez sauvegarder Duo Mobile à l’aide de Google Drive pour Android et d’iCloud KeyChain sur iPhone.
Examen Duo Mobile
L’application d’authentification du géant de la recherche publicitaire est basique et n’offre pas de fioritures supplémentaires. Contrairement à Microsoft Authenticator, l’application Google Authenticator n’ajoute aucune option spéciale pour ses propres services, ni n’offre la génération et la gestion de sauvegarde ou de mot de passe. Google semble plus intéressé par la configuration de l’authentification à deux facteurs en utilisant les fonctionnalités Android intégrées plutôt que l’application Authenticator. L’utilisation d’un téléphone Android pour 2FA avec un compte Google (plutôt que l’application Google Authenticator) est plus pratique, car il s’agit simplement d’appuyer sur le téléphone plutôt que de saisir un code à six chiffres.
Contrairement à Authy, Google Authenticator ne dispose pas d’une sauvegarde en ligne pour vos codes de compte, mais vous pouvez les importer d’un ancien vers un nouveau téléphone si vous avez le premier sous la main. Une préoccupation mineure est que Google Authenticator ne fournit pas d’application Apple Watch.
Ceci est distinct de l’application de gestion de mot de passe LastPass, bien qu’il offre une certaine synergie avec les fonctions de mot de passe de l’application la plus connue. L’installation de LastPass Authenticator est un jeu d’enfant, et si vous avez déjà un compte LastPass avec l’authentification multifacteur activée, vous pouvez facilement autoriser LastPass en appuyant sur une notification push. De plus, une fois l’application configurée avec votre compte LastPass, il est facile de créer une sauvegarde de vos comptes d’authentification dans votre coffre-fort LastPass. Cela prend un peu de peine de passer à un nouveau téléphone.
Examen de LastPass Authenticator (pour iPhone)
L’entrée de Microsoft inclut désormais la génération de mot de passe sécurisé et vous permet de vous connecter à des comptes Microsoft en appuyant sur un bouton. L’application Authenticator permet également aux écoles et aux lieux de travail qui l’utilisent d’enregistrer les appareils des utilisateurs. La récupération de compte est une fonctionnalité importante que vous devez activer si vous utilisez l’application. De cette façon, lorsque vous obtenez un nouveau téléphone, après avoir installé Microsoft Authenticator, vous verrez une option de récupération en vous connectant à votre compte Microsoft et en fournissant plus de vérifications.
Un problème ici (et c’est un problème de verrouillage Apple) est que vous ne pouvez pas transférer vos comptes 2FA enregistrés vers un appareil Android si vous avez sauvegardé sur iCloud, car la version iPhone nécessite l’utilisation d’iCloud. Microsoft Authenticator offre une autre couche de sécurité : vous pouvez exiger le déverrouillage de votre téléphone avec un code PIN ou une vérification biométrique afin de voir les codes.
Vous trouverez des capacités de gestion des mots de passe dans un onglet séparé en bas. Vous pouvez simplement synchroniser avec le compte Microsoft que vous avez associé à l’authentificateur, et après cela, vous verrez les connexions que vous avez enregistrées et synchronisées à partir du navigateur Edge. De plus, vous pouvez simplement utiliser Authenticator comme utilitaire de remplissage/économiseur de mot de passe sur votre téléphone.
Contrairement aux autres applications de ce mini-tour d’horizon, Authy a besoin de votre numéro de téléphone lorsque vous le configurez pour la première fois. nous ne sommes pas fans de cette exigence, car nous préférons que l’application considère nos téléphones comme des éléments matériels anonymes, plutôt que comme quelque chose lié à nos données personnellement identifiables. En outre, certains ont facturé que cela ouvre l’application à la fraude par échange de carte SIM. Le centre d’aide d’Authy propose une solution de contournement pour cela, mais nous préférerions que cela fonctionne comme le reste des applications sans exigence de numéro de téléphone. Les utilisateurs d’Apple Watch apprécieront qu’il existe une version de l’application Authy pour la montre de leur choix.
L’un des gros avantages d’Authy est la sauvegarde cryptée dans le cloud, mais il est quelque peu inquiétant que vous puissiez ajouter le compte à un nouveau téléphone en utilisant « un code PIN envoyé via un appel ou un SMS » selon les pages d’assistance d’Authy. Il existe également une option pour entrer un mot de passe privé ou une phrase secrète qu’Authy utilise pour crypter les informations de connexion de vos comptes dans le cloud. Le mot de passe n’est connu que de vous, donc si vous l’oubliez, Authy ne pourra pas récupérer le compte. Cela signifie également qu’aucune autorité ne peut forcer Authy à déverrouiller vos comptes.
Avis sur Twilio Authy