De nos jours, il semble que tous les sites Web que vous visitez vous encouragent à utiliser l'authentification à deux facteurs (2FA).
L'un des moyens les plus courants d'utiliser 2FA consiste à entrer un code unique à partir de votre appareil mobile. Généralement, vous recevez le code dans un message texte ou vous utilisez une application 2FA tierce pour en générer un.
Les deux méthodes sont deux façons populaires d'utiliser les codes en raison de leur commodité. Cependant, les deux méthodes sont également faibles du point de vue de la sécurité. Et parce que votre code 2FA est aussi sûr que la technologie utilisée pour le livrer, les faiblesses sont importantes.
Alors, quel est le problème avec l'utilisation de SMS et d'applications tierces pour accéder à vos codes? Et y a-t-il une alternative tout aussi pratique qui soit plus sûre? Nous allons tout expliquer. Continuez à lire pour en savoir plus.
Fonctionnement de l'authentification à deux facteurs
Prenons un moment pour discuter du fonctionnement de l'authentification à deux facteurs. Sans comprendre les mécanismes derrière la technologie, le reste de cet article n'aura pas beaucoup de sens.
En termes généraux, 2FA ajoute une couche de sécurité supplémentaire à votre compte. Également connue sous le nom d'authentification multi-facteurs, les informations de connexion sont constituées non seulement d'un mot de passe, mais également d'une seconde information à laquelle seul le propriétaire légitime du compte a accès.
2FA existe sous de nombreuses formes différentes Avantages et inconvénients des méthodes et des types d'authentification à deux facteurs Avantages et inconvénients des méthodes et des types d'authentification à deux facteurs Les méthodes d'authentification à deux facteurs ne sont pas égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et celles qui répondent le mieux à vos besoins individuels. Lire la suite . À son niveau le plus basique, il pourrait être quelque chose d'aussi simple que des questions de sécurité (parce que personne d'autre ne pourrait connaître le nom de jeune fille de votre mère) Pourquoi répondez-vous à des questions de sécurité? réponses honnêtes? Malheureusement, votre honnêteté pourrait créer une fissure dans votre armure en ligne.Prenons un coup d'oeil à la façon de répondre aux questions de sécurité en toute sécurité.Lire plus ou votre animal de compagnie préféré). À l'extrémité la plus compliquée, il pourrait s'agir d'un identifiant biométrique tel qu'un scanner de la rétine ou une empreinte digitale.
Pourquoi vous devriez éviter la vérification par SMS
SMS se positionne comme le moyen le plus accessible d'accéder et d'utiliser les codes 2FA. Si un site propose des connexions d'authentification à deux facteurs, il offre presque certainement des SMS comme l'une des options.
Mais SMS n'est pas un moyen sûr d'utiliser 2FA. Il a deux vulnérabilités clés.
Premièrement, la technologie est vulnérable aux attaques SIM Swap . Il n'en faut pas beaucoup à un pirate pour effectuer un échange SIM. S'ils ont accès à une autre information personnelle, comme votre numéro de sécurité sociale, ils peuvent appeler votre opérateur et transférer votre numéro vers une nouvelle carte SIM.
Deuxièmement, les pirates peuvent intercepter les messages SMS . Tout revient au système de routage téléphonique du système de signalisation n ° 7 (SS7), désormais désuet. La méthodologie a été conçue en 1975 mais est encore utilisée presque globalement pour connecter et déconnecter les appels. Il gère également les traductions de numéros, la facturation prépayée et, surtout, les messages SMS.
Sans surprise, cette technologie de 1975 est pleine de trous de sécurité. Voici comment Bruce Schneier, expert en sécurité, a décrit les défauts:
"Si les attaquants ont accès à un portail SS7, ils peuvent transférer vos conversations vers un appareil d'enregistrement en ligne et rediriger l'appel vers sa destination [...] Cela signifie qu'un criminel bien équipé pourrait saisir vos messages de vérification et les utiliser avant vous. Je les ai même vus. "
Bien sûr, découvrir qu'un cyber-criminel a piraté votre Facebook Comment savoir si votre compte Facebook a été piraté Comment savoir si votre compte Facebook a été piraté Étant donné le nombre de données que nous avons ajouté à nos profils, il est plus important que jamais pour vous assurer de rester au top des paramètres de confidentialité de Facebook. Read More compte est loin d'être idéal. Mais la situation est plus effrayante lorsque vous considérez d'autres utilisations de 2FA. Un cyber-criminel peut voler des codes que vous utilisez dans vos opérations bancaires en ligne, ou même initier et compléter des transferts d'argent 6 Applications pour vous aider à transférer de l'argent entre amis 6 Applications pour vous aider à transférer de l'argent entre amis . Voici six des meilleures options disponibles. Lire la suite .
En outre, Schneier prétend également que n'importe qui peut acheter l'accès au réseau SS7 pour environ 1000 $. Une fois qu'ils ont accès, ils peuvent envoyer une demande de routage. Pour terminer le problème, le réseau ne peut pas authentifier la source de la demande.
Rappelez-vous, il est préférable d'utiliser une authentification à deux facteurs par SMS plutôt que de laisser 2FA désactivé. Et il est probablement improbable que vous deveniez une victime. Cependant, si vous commencez à vous sentir un peu concerné, vous devez continuer à lire. Beaucoup de personnes acceptent que SMS n'est pas sécurisé et se tournent plutôt vers des applications tierces.
Mais ce n'est peut-être pas beaucoup mieux.
Pourquoi vous devriez éviter les applications 2FA
L'autre façon courante d'utiliser les codes 2FA est d'installer une application pour smartphone dédiée. Il y a beaucoup de choix. Google Authenticator est sans doute le plus reconnaissable, mais ce n'est pas forcément le meilleur. Il existe de nombreuses alternatives - consultez Authy, Authenticator Plus et Duo.
Mais quelle est la sécurité des applications spécialisées 2FA? Leur plus grande faiblesse est leur confiance en une clé secrète .
Prenons un peu de recul pour une seconde. Si vous n'êtes pas au courant, lorsque vous vous inscrivez à la plupart des applications pour la première fois, vous devez entrer une clé secrète. Le secret est partagé entre vous et le fournisseur de l'application.
Lorsque vous accédez à un site, le code créé par l'application est basé sur une combinaison de votre clé et de l'heure actuelle. Au même moment, le serveur génère un code en utilisant les mêmes informations. Les deux codes doivent correspondre pour que l'accès soit accordé. Cela semble raisonnable.
Alors pourquoi les clés sont-elles le point faible? Eh bien, que se passe-t-il si un cyber-criminel parvient à accéder à la base de données de mots de passe et de secrets d'une entreprise? Chaque compte serait vulnérable - l'attaquant pourrait aller et venir Comment vérifier si quelqu'un d'autre a accès à votre compte Facebook Comment vérifier si quelqu'un d'autre est l'accès à votre compte Facebook Il est à la fois sinistre et inquiétant si quelqu'un a accès à votre compte Facebook sans votre connaissance. Voici comment savoir si vous avez été violé. Lire la suite à volonté.
Deuxièmement, le secret est soit affiché en texte brut ou en tant que code QR; On ne peut pas le hacher ou l'utiliser avec du sel Ce que signifie tout ce truc de hachage MD5 [Explication technologique] Ce que tout ce hachage MD5 signifie en réalité [Explication technologique] Voici une version complète de MD5, un hachage et un petit aperçu des ordinateurs et cryptographie. Lire la suite . C'est probablement aussi en texte brut sur les serveurs de l'entreprise.
La clé secrète est la faille fondamentale du mot de passe à usage unique basé sur le temps (TOTP) utilisé par les applications spécialisées. C'est pourquoi une clé physique U2F est toujours une option plus sécurisée.
Des failles dans la conception et la sécurité pour les applications 2FA
Bien sûr, les chances d'un cyber-criminel piratage des bases de données nécessaires d'une tierce partie sont assez faibles. Mais votre application pourrait également souffrir de défauts de sécurité de base dans sa conception.
Facilité de gestion de mot de passe LastPass 8 façons simples de suralimenter votre sécurité LastPass 8 façons simples de surcharger votre sécurité LastPass Vous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l'utilisez-vous correctement? Voici huit étapes à suivre pour rendre votre compte LastPass encore plus sécurisé. Read More est tombé victime en Décembre 2017. Le blog d'un programmeur sur le Moyen a révélé que les clés secrètes 2FA pouvaient être consultées sans empreinte digitale, mot de passe ou autre mesure de sécurité.
La solution de contournement n'était même pas compliquée. En accédant à l'activité des paramètres de l'application LastPass Authenticator (com.lastpass.authenticator.activities.SettingsActivity), vous pouvez entrer dans le volet des paramètres de l'application sans aucune vérification. De là, vous pouvez appuyer une fois sur Retour pour accéder à tous les codes 2FA.
LastPass a maintenant corrigé la faille, mais des questions demeurent. Selon le programmeur, il avait essayé de le dire à LastPass pendant sept mois, mais la société ne l'a jamais corrigée. Combien d'autres applications 2FA tierces ne sont pas sécurisées? Et combien de vulnérabilités non fixées les développeurs connaissent-ils mais retardent le patch?
Que faire à la place: utilisez les touches U2F
Au lieu de compter sur SMS et 2FA pour vos codes, vous devez utiliser les clés Universal 2nd Factor. Que sont les clés U2F et où sont-elles prises en charge? Quelles sont les clés U2F et où sont-elles supportées? Les clés U2F sont l'une des meilleures façons de sécuriser vos comptes. Mais où sont les clés U2F supportées? Lire la suite (U2F). Ils constituent le moyen le plus sûr de générer des codes et d'accéder à vos services.
Largement considéré comme une version de deuxième génération de 2FA, il simplifie et renforce le protocole actuel. En outre, l'utilisation de clés U2F est presque aussi pratique que l'ouverture d'un message SMS ou d'une application tierce.
Les clés U2F utilisent une connexion NFC ou USB. Lorsque vous connectez votre appareil à un compte pour la première fois, il génère un nombre aléatoire appelé "Nonce". Le Nonce est haché avec le nom de domaine du site pour créer un code unique.
Par la suite, vous pouvez déployer votre clé U2F en la connectant à votre appareil et en attendant que le service la reconnaisse.
Alors, quel est l'inconvénient? Eh bien, même si U2F est une norme ouverte, il en coûte toujours de l'argent pour acheter une clé physique U2F. Et peut-être plus préoccupant, vous êtes à risque de vol.
Une clé U2F volée ne rend pas automatiquement votre compte non sécurisé; un pirate aurait encore besoin de connaître votre mot de passe. Mais dans un lieu public, un voleur peut déjà vous avoir vu entrer votre mot de passe de loin, avant de voler vos biens.
Les clés U2F peuvent être chères
Les prix varient considérablement entre les fabricants, mais vous pouvez vous attendre à payer entre 15 $ et 50 $.
Idéalement, vous voulez acheter un modèle «certifié FIDO». L'Alliance FIDO (Fast IDentity Online) est responsable de l'interopérabilité entre les technologies d'authentification. Les membres incluent tout le monde, de Google et Microsoft, à Bank of America et MasterCard.
En achetant un appareil FIDO, vous pouvez être sûr que la clé U2F fonctionnera avec tous les services que vous utilisez tous les jours. Consultez la clé DIGIPASS SecureClick U2F si vous souhaitez en acheter un.
Clé de sécurité DIGIPASS SecureClick FIDO U2F Clé de sécurité DIGIPASS SecureClick FIDO U2F Acheter maintenant Sur Amazon $ 39.00
Insécurité 2FA est toujours mieux que non 2FA
Pour résumer, les clés Universal 2nd Factor fournissent un juste milieu entre la facilité d'utilisation et la sécurité. Le SMS est l'approche la moins sûre, mais aussi la plus pratique.
Et rappelez-vous, tout 2FA est meilleur que pas 2FA. Oui, cela peut vous prendre 10 secondes de plus pour vous connecter à certaines applications, mais c'est mieux que de sacrifier votre sécurité.