En complément à l’article sur les bonnes pratiques pour gérer ses mots de passe, je vous parle aujourd’hui de l’authentification forte (appelée « 2FA » pour « Two-Factors Authentication »).
Qu’est-ce que c’est ?
Le principe est qu’après la saisie habituelle de votre compte et de votre mot de passe, un contrôle supplémentaire est demandé avec un code qui n’est valable qu’une seule fois. Celui-ci est généralement fourni sur votre téléphone portable soit par SMS soit via une application spécialisée comme Google Authenticator (pour Androïd ou pour Apple par exemple).
Comment ça marche ?
Le SMS est envoyé par le fournisseur sur votre portable et vous devez recopier le code sur le site où vous vous identifiez (généralement 4 à 8 chiffres).
De son côté, le code à usage unique généré par l’application spécialisée est remplacé toutes les 30 secondes et est en quelque sorte « synchronisé » avec le site où vous vous identifiez.
Ainsi, vous ne serez complètement identifié qu’une fois le code supplémentaire validé. Et même si votre mot de passe est découvert, l’accès à votre compte reste impossible car il faut ce code additionnel qui dépend d’un périphérique ou d’un logiciel que vous seul possédez.
C’est définitivement un réglage à activer partout où vous le pouvez.
Intégration aux gestionnaires de mots de passe
Il faut noter que certains gestionnaires de mots de passe (notamment l’excellent 1Password) prennent maintenant en charge la génération des codes à usage unique sans avoir besoin d’une application tierce (comme Google Authenticator par exemple). La connexion aux divers sites devient alors automatique et vous bénéficiez d’une sécurité renforcée sans renoncer au confort de ces outils.
Procédure de secours à mettre en place !!
Bien que cette méthode soit extrêmement fiable, elle a son talon d’Achille : vous ne pourrez plus vous connecter si vous perdez ou si vous remplacez votre téléphone portable! Il est donc très important de noter les codes de secours qui sont fournis par chaque site proposant l’authentification forte car vous en aurez obligatoirement besoin pour configurer votre nouveau téléphone. De même, si vous avez opté pour un code transmis par SMS et que vous changez de numéro de portable, il faut penser à désactiver l’authentification forte avant de remplacer votre abonnement, et la remettre en route ensuite avec votre nouveau numéro de portable.
Si vous optez pour un code à usage unique géré et fourni par votre gestionnaire de mots de passe, vous êtes à l’abri de ce désagrément bien sûr.
Voilà, vous n’avez plus d’excuse pour ne pas utiliser cette authentification 2FA, c’est maintenant le moment de l’activer partout!
Ping Obtenir votre mot de passe iCloud ? il suffit de demander ! – IT Awareness