Ce qu’il faut savoir quand on utilise la 2FA avec des sites web et des services
L’authentification à deux facteurs (2FA) est un type spécifique d’authentification multifactorielle (MFA) qui renforce la sécurité d’accès en exigeant deux méthodes (également appelées facteurs d’authentification) pour vérifier votre identité. Ces facteurs peuvent inclure quelque chose que vous connaissez – comme un nom d’utilisateur et un mot de passe – plus quelque chose que vous avez – comme une application pour smartphone – pour approuver les demandes d’authentification.
L’authentification à deux facteurs (2FA) protège contre le phishing, l’ingénierie sociale et les attaques par force brute de mot de passe et sécurise vos connexions contre les attaquants exploitant des informations d’identification faibles ou volées.
L’authentification à deux facteurs (2FA) est l’élément fondamental d’un modèle de sécurité à confiance zéro. Afin de protéger les données sensibles, vous devez vérifier que les utilisateurs qui tentent d’accéder à ces données sont bien ceux qu’ils prétendent être. La 2FA est un moyen efficace de se protéger contre de nombreuses menaces de sécurité qui ciblent les mots de passe et les comptes des utilisateurs, telles que le phishing, les attaques par force brute, l’exploitation des crédences et plus encore.
Disons que vous utilisez un nom d’utilisateur et un mot de passe pour compléter l’authentification primaire à une application. Cette information est envoyée sur Internet (votre réseau primaire). Vous voudrez utiliser un canal différent (hors bande) pour compléter votre deuxième facteur. L’approbation d’une notification push envoyée sur votre réseau mobile est un exemple d’authentification hors bande.
Quels sont les types de 2FA ?
SMS 2FA
L’authentification à deux facteurs par SMS valide l’identité d’un utilisateur en envoyant par SMS un code de sécurité à son appareil mobile. L’utilisateur entre ensuite le code dans le site web ou l’application auquel il s’authentifie.
TOTP 2FA
La méthode 2FA à mot de passe unique basé sur le temps (TOTP) génère une clé localement sur le dispositif auquel un utilisateur tente d’accéder. La clé de sécurité est généralement un code QR que l’utilisateur scanne avec son appareil mobile pour générer une série de chiffres. L’utilisateur saisit ensuite ces chiffres dans le site web ou l’application pour obtenir l’accès. Les codes d’accès générés par les authentificateurs expirent après un certain temps, et un nouveau code sera généré la prochaine fois que l’utilisateur se connectera à un compte. TOTP fait partie de l’architecture de sécurité Open Authentication (OAUTH).
Push-Based 2FA
Push-based 2FA améliore les SMS et TOTP 2FA en ajoutant des couches de sécurité supplémentaires, tout en améliorant la facilité d’utilisation pour les utilisateurs finaux. Le 2FA basé sur le push confirme l’identité d’un utilisateur avec plusieurs facteurs d’authentification que les autres méthodes ne peuvent pas. Duo Security est le principal fournisseur de 2FA basé sur le push.
Tokens U2F