Quelle option d'authentification à deux facteurs est la meilleure?

The Best Two-Factor Authentication Option

À première vue, l'authentification à deux facteurs (2FA) est une fonctionnalité de sécurité incroyablement simple et incroyablement efficace. En substance, en implémentant l'authentification à deux facteurs, vous vous assurez qu'un attaquant ne peut pas prendre le contrôle du compte d'une victime en utilisant uniquement un nom d'utilisateur et un mot de passe. Il y a une étape supplémentaire pendant le processus d'authentification sans laquelle l'accès ne sera pas accordé. Jusqu'à présent, si simple. C'est là que cela commence à devenir plus compliqué.

La plupart des systèmes 2FA reposent sur un deuxième mot de passe temporaire (souvent appelé mot de passe à usage unique ou OTP), que l'utilisateur doit saisir pour déverrouiller son compte. Dans d'autres cas, la connexion nécessite un périphérique matériel ou un jeton qui sert de preuve que l'utilisateur est autorisé à accéder au compte. Il y a beaucoup de débats autour de la meilleure option - un jeton matériel ou un OTP. La question de savoir quel est le meilleur jeton matériel a également été discutée, et il en va de même pour les différentes façons dont les systèmes 2FA basés sur OTP peuvent être mis en œuvre. En d'autres termes, pour beaucoup, 2FA a soulevé plus de questions qu'il n'en a répondu.

La discussion du Bureau du Procureur

Un OTP est un deuxième facteur assez robuste, mais il doit être implémenté correctement. Pour que les OTP fonctionnent, ils doivent être uniques et aléatoires. Si les pirates sont capables de comprendre l'algorithme derrière le mécanisme qui crée les OTP, ils peuvent battre l'ensemble du système 2FA. Ils pourraient également être en mesure de contourner le problème s'ils ont suffisamment de temps pour deviner le Bureau du Procureur. Pour des raisons de convivialité, les OTP sont souvent des codes à 4 ou 6 chiffres qui peuvent être devinés avec une relative facilité. C'est pourquoi il est important de s'assurer qu'ils expirent après un délai raisonnable. Bien sûr, des limites de taux appropriées peuvent également empêcher les attaquants de forcer leur chemin.

Il est juste de dire que la plupart des développeurs et des administrateurs système qui ont choisi 2FA basé sur OTP respectent ces règles, et les attaques de ce type particulier ne sont pas si courantes. Cependant, en ce qui concerne la méthode de livraison des OTP, les choses sont complètement différentes.

Il existe différentes manières de fournir un OTP à l'utilisateur. Vous pouvez le faire par e-mail, SMS ou une application d'authentification sur leur smartphone. Beaucoup de gens ont perdu leur sang-froid face à l'insécurité de certains de ces médiums. Nous avons discuté dans le passé, par exemple, de la technologie derrière les messages texte qui est assez ancienne et peut théoriquement permettre aux pirates d'intercepter les OTP et de contourner 2FA. Depuis un certain temps, les e-mails sont également condamnés car trop peu sécurisés pour transporter des informations sensibles comme les OTP 2FA.

Le fait est que le meilleur moyen de garantir que les OTP ne peuvent pas être interceptés pendant la transmission est de ne pas les transmettre du tout. C'est pourquoi les applications mobiles 2FA comme Google Authenticator sont considérées comme la meilleure option pour les systèmes d'authentification à deux facteurs basés sur OTP qui ne nécessitent pas de jeton matériel supplémentaire. Le problème avec ces applications, cependant, est que les utilisateurs qui n'ont pas de smartphone ne peuvent pas les utiliser.

Les jetons matériels sont-ils la solution?

L'idée des applications 2FA découle des jetons matériels qui utilisent également des fonctions cryptographiques complexes pour créer des OTP sur place. Connus sous le nom de RSA SecurID, ils ont à peu près la taille d'un porte-clés et disposent d'un petit écran LCD monochrome qui affiche l'OTP actuel. Vous pouvez voir cela comme une solution, surtout si certains de vos utilisateurs potentiels n'ont pas de smartphone, mais il y a encore une chose à considérer. La vulnérabilité inhérente aux mots de passe à usage unique est que, tout comme les mots de passe normaux, ils peuvent être hameçonnés.

C'est pourquoi, selon les experts en sécurité, les systèmes 2FA les plus sécurisés reposent sur des clés U2F - des jetons matériels qui, au lieu de générer et d'afficher des OTP, communiquent directement avec votre ordinateur ou appareil mobile et vous authentifient automatiquement. Ils sont assez petits pour être transportés sur un porte-clés, ils n'ont pas de batterie et la technologie sans fil sur laquelle certains s'appuient signifie que l'authentification est souvent instantanée. Étant donné que l'utilisateur n'est pas obligé d'entrer un OTP, cela est considéré comme la meilleure méthode en termes à la fois de convivialité et de sécurité. Ce n'est pas encore parfait, cependant.

Contrairement aux applications 2FA, les e-mails et, dans la plupart des cas, les messages texte, les clés U2F ne sont pas gratuites. L'investissement n'est pas énorme, mais le triste fait est que la plupart des utilisateurs ne sont pas particulièrement désireux de payer pour la sécurité, et même un prix raisonnable peut être un obstacle suffisant pour eux. De toute évidence, le problème de la perte des petits jetons est également présent.

Comment choisir l'implémentation 2FA la plus appropriée pour votre service?

Dans l'ensemble, il n'y a pas de "parfait 2FA". Certaines implémentations sont plus sécurisées que d'autres, mais elles ont toutes leurs propres problèmes distincts, ce qui signifie que si vous exécutez un service en ligne, vous devez décider quel type de 2FA vous allez implémenter en fonction de vos utilisateurs, de leurs besoins, et leurs modèles de menace. Pour plus de flexibilité, la plupart des fournisseurs de services laissent les gens choisir l'implémentation 2FA qu'ils souhaitent utiliser dans une liste de plusieurs options différentes, et c'est peut-être l'approche la plus raisonnable étant donné la diversité de la base d'utilisateurs.

Assurez-vous cependant de ne pas oublier une chose - même le 2FA le plus insécure vaut mieux que pas de 2FA.

Par Duran
April 16, 2020
Computer Security
Français
April 16, 2020
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 5 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Pinaview est une application publicitaire complète

Il y a 10 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.