Bienvenue au jour 15 de mon défi de sécurité de 30 jours, le défi que j'ai créé pour vous aider à prendre le contrôle de votre vie privée et de votre sécurité en ligne.

Aujourd'hui, tout est sur l'authentification à deux facteurs. La raison pour laquelle j'ai décidé d'attendre jusqu'à la moitié du défi de sécurité pour faire apparaître l'authentification à 2 facteurs (en abrégé 2FA), avec les gestionnaires de mots de passe et les VPN de demain, c'est que chacun de ces problèmes qui semble décourageant. Même si envisager d'utiliser ceux-ci nécessitent beaucoup d'installation. Mais comme avec beaucoup de ces options, les heures que vous passez à configurer ces applications vous permettront d'économiser du stress et de l'anxiété dans le futur. Alors aujourd'hui, discutons 2FA.

Alors, qu'est-ce que l'authentification à deux facteurs? 2FA est un type d'authentification multi-facteurs. Il se compose de deux choses sur trois: la connaissance (quelque chose que vous connaissez), la possession (quelque chose que vous avez), et l'inhérence (quelque chose que vous êtes). Vous l'utilisez déjà pour votre banque dans un guichet automatique. Quelque chose que vous avez est la carte de débit, et quelque chose que vous savez est votre code PIN, c'est déjà de l'authentification à deux facteurs. En ligne, 2FA se compose généralement de quelque chose que vous connaissez, votre nom d'utilisateur et mot de passe, et quelque chose que vous avez, un appareil qui génère un code que vous pouvez taper.

En règle générale, une fois qu'un site Web est configuré pour utiliser 2FA, le processus est le suivant: vous cliquez sur vous connecter pour vous connecter à votre compte, vous tapez votre nom d'utilisateur et votre mot de passe, puis cliquez sur connexion. Le site Web reconnaît que l'authentification à 2 facteur est activée sur votre compte. Il vous invite à saisir un code d'accès à 6 chiffres (le code d'accès peut être plus ou moins différent selon le site), puis cliquez sur OK pour vous connecter. Dans la plupart des cas, le code 2FA change toutes les minutes, donc il ne reste jamais le même. Ainsi, si quelqu'un regarde votre connexion par-dessus votre épaule et voit votre code 2FA, il ne pourra plus se connecter avec ce même code, il change constamment. Dans le cas de l'inhérence ou de quelque chose que vous êtes, cela pourrait être une empreinte biométrique, une reconnaissance vocale, un balayage de l'iris ou plus. Une entreprise qui utilise l'authentification multifactorielle avec biométrie est propre, une entreprise qui se présente dans les aéroports aux États-Unis: elle demande votre carte d'identité et votre billet d'avion, puis scanne votre empreinte digitale dans un lecteur et vous laisse passer. Il s'agit essentiellement d'une ligne TSA de haute technologie. Quoi qu'il en soit, de l'authentification à 2 facteurs.

Comment recevez-vous les codes pour 2FA en ligne? Vous pouvez acheter une clé USB 2FA, comme celles vendues par Yubico. Vous pouvez également utiliser SMS, ou vous pouvez télécharger une application mobile et recevoir des codes de cette façon. Chacun d'entre eux a un inconvénient ou deux:

Les inconvénients de 2FA: Si vous l'utilisez avec un périphérique (comme une clé d'authentification USB à deux facteurs), cela vous oblige à marcher avec une chose supplémentaire dans votre poche. La plupart des gens ne veulent pas faire cela, mais puisque ce n'est pas un appareil connecté, il ne peut pas être piraté et donc moins susceptible d'être volé. Bien sûr, vous pourriez perdre cet appareil 2FA, alors vous seriez un peu foutu. Si vous utilisez 2FA avec votre téléphone mobile (c'est ce que je recommande pour une utilisation plus facile), votre téléphone pourrait être volé ou cassé, alors vous n'auriez pas accès à vos clés 2FA lorsqu'elles sont générées dans une application 2FA ou SMS . Si vous utilisez une application et que vous changez de téléphone, vous devez disposer de codes de secours pour accéder aux comptes en ligne jusqu'à ce que votre nouveau compte soit configuré (ces derniers vous sont généralement envoyés lorsque vous configurez 2 facteurs sur un site Web). Soit cela ou vous pouvez utiliser une application qui sauvegarde vos codes 2FA pour vous. Cela pourrait ne pas être aussi sûr, puisque quelqu'un d'autre pourrait télécharger l'application et comprendre vos informations de connexion. Le SMS est le pire choix, car les pirates utilisent l'ingénierie sociale pour amener les fournisseurs de téléphonie mobile à transférer les numéros de téléphone de la carte SIM vers de nouveaux téléphones. Donc, même si une attaque n'a jamais volé votre téléphone, ils pourraient commencer à recevoir tous vos appels et textes sur un nouveau téléphone qui a volé votre numéro de téléphone. Cela signifie que vos codes SMS 2FA pourraient être envoyés à un attaquant au lieu de vous.

Alors pourquoi utiliser 2FA s'il y a des inconvénients? Eh bien, si votre nom d'utilisateur et mot de passe de compte en ligne a été volé, un attaquant ne pourrait toujours pas accéder à votre compte sans le code 2FA. Le risque qu'un attaquant vous ciblant pour votre nom d'utilisateur et votre mot de passe ET 2FA est hautement improbable, mais un attaquant ciblant une société en ligne pour en voler tous les comptes clients est important. Alors avoir ce code 2FA d'activé, verrouille l'accès à votre compte pour les attaquants, même s'ils ont obtenu cette information, donc vous pouvez être assuré que vos comptes en ligne sont toujours en sécurité (bien sûr, si vous trouvez un compte compromis, il est préférable de changer le mot de passe rapidement).

Quelques options pour 2FA: J'ai déjà mentionné Yubikeys de Yubico pour la clé USB 2FA, mais il y a aussi des applications pour votre smartphone. Google Authenticator, LastPass Authenticator, Authy et Duo ne sont que quelques options.

Téléchargez celui que vous préférez sur votre téléphone et vérifiez votre identité. J'utilise Authy, qui envoie un code à mon numéro de téléphone pour vérifier que je possède réellement ce numéro. Ensuite, il me permet de définir un mot de passe principal pour l'application et la connexion. Une fois connecté, je peux ajouter tous les comptes en ligne que je veux. J'utilise spécifiquement Authy car ils offrent une solution de sauvegarde qui crypte et sauvegarde les jetons 2FA aux serveurs d'Authys. Ce n'est pas l'option la plus sécurisée, mais c'est pratique pour mes besoins car je suis constamment en train d'examiner et de changer de téléphone. La plupart des applications ne disposent pas d'une option de sauvegarde qui soit honnêtement plus sécurisée, car vous ne faites pas confiance à une entreprise pour protéger vos données, elles sont toutes stockées localement sur votre téléphone. Mais encore une fois, si vous perdez ce téléphone, vous pourriez être foutu.

Comment vous protégez-vous de la perte de vos comptes? Plusieurs sites Web en ligne offrant la sécurité 2FA offrent également des codes de sauvegarde lors de la première configuration de 2FA. Par exemple, Google vous permet de configurer 2FA puis il apparaît avec environ 10 codes différents, Google vous demande d'imprimer ou d'écrire ces codes, car ce sera la seule façon pour vous de pouvoir récupérer votre compte dans le cas où vous perdez votre Application 2FA. Pour tous les comptes qui ont ces codes de sauvegarde, écrivez-les et stockez-les dans un endroit sûr. Je les garderais avec d'autres documents cruciaux que vous avez rarement besoin de toucher.

Maintenant, comment savez-vous quels sites utilisent 2FA? Facile! Deux sites Web ont été créés pour vous dire quels services en ligne ont l'authentification à 2 facteurs et comment l'activer. https://twofactorauth.org est parfait pour découvrir les services en ligne populaires qui ont déjà l'authentification à 2 facteurs de disponible, et a également une fonction intégrée de tweet afin que vous puissiez tweeter à tous les services qui ne supportent pas 2FA et leur dire d'ajouter ce système de sécurité. Déjà parce que c'est 2018, les gars, je vous parle, Squarespace.

L'autre site est www.turnon2fa.com qui a des tutoriels graphiques très pratiques sur la façon d'activer 2FA pour les sites populaires. Comme, ils comprennent des images. C'est littéralement plus facile.

Passez donc par votre gestionnaire de mot de passe et trouvez chaque site qui accepte l'authentification à 2 facteurs et allumez-les tous, scannez les codes QR avec votre nouvelle application 2FA, et commencez à utiliser ces nouveaux codes 2FA. Oui, c'est un peu plus compliqué d'avoir votre téléphone sur vous chaque fois que vous devez vous connecter à un nouveau site, mais c'est aussi un casse-tête pour les attaquants, ils ne tenteront probablement pas de voler vos comptes.

Vous êtes maintenant à mi-chemin! Woohoo!

Le jour 15 est maintenant terminé! Demain, il s'agit de mettre en place un VPN convivial pour les consommateurs! Encore une fois, je suis Jonathan Debétaz et je vous verrai demain pour le jour 16!