L’authentification à deux facteurs SMS n’est pas parfaite, mais vous devriez quand même l’utiliser.

Dans une quête de sécurité parfaite, le parfait est l’ennemi du bien. Les gens critiquent l’authentification à deux facteurs par SMS à la suite du piratage de Reddit mais l’utilisation de deux facteurs basés sur SMS est encore bien meilleure que l’absence d’authentification à deux facteurs.

Plus de 90 % des utilisateurs de GMail n’utilisent pas l’authentification à deux facteurs.

Les professionnels de la sécurité qui disent que la vérification des SMS n’est pas suffisante vont trop loin. Selon une présentation de l’ingénieur Google Grzegorz Milka à USENIX Enigma 2018, plus de 90 % des utilisateurs de GMail n’utilisent aucune authentification à deux facteurs. La première chose que la plupart des gens peuvent faire pour se protéger en ligne authentification à deux facteurs pour leurs comptes importants.

Pensez-y comme ça. Disons que vous voulez mettre une serrure sur votre porte d’entrée pour protéger votre maison. Les professionnels de la sécurité contestent le fait que le meilleur type de serrure disponible est bien meilleur que les serrures moins chères. Bien sûr, c’est logique. Mais si cette serrure plus chère ne vous est pas disponible, ne pas avoir une serrure moins chère encore mieux que de ne pas avoir de serrure du tout ?

Oui, l’authentification à deux facteurs basée sur l’application est meilleure que l’authentification par SMS. Mais, si le SMS est tout ce qu’un service offre, c’est toujours mieux que de ne pas l’utiliser du tout.

Les deux facteurs basés sur les SMS présentent certaines faiblesses, mais cela ne leur convient pas. Un attaquant devra passer du temps à contourner votre vérification SMS. Et la plupart des cibles ne valent probablement pas autant d’efforts.

Pourquoi avez-vous besoin d’une authentification à deux facteurs ?

Une authentification à deux facteurs est appelée car elle nécessite deux choses pour accéder à votre compte : quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous possédez (un code de sécurité supplémentaire provenant de votre appareil mobile ou une clé physique).

Lorsque vous activez l’authentification à deux facteurs basée sur SMS, le service envoie à votre numéro de téléphone portable un message texte contenant un code unique chaque fois que vous vous connectez à partir d’un nouvel appareil. Ainsi, même si quelqu’un a votre nom d’utilisateur et votre mot de passe pour ce compte, il ne pourra pas se connecter à votre compte sans accéder à vos messages texte.

Il existe également d’autres types de méthodes à deux facteurs, notamment des applications sur votre téléphone qui génèrent des codes de sécurité temporaires et des clés de sécurité physiques à brancher sur votre ordinateur.

N’importe quel type d’authentification à deux facteurs offre une protection énorme pour les comptes importants tels que votre messagerie électronique, vos réseaux sociaux et vos comptes bancaires. Cela est particulièrement vrai si vous réutilisez des mots de passe. Beaucoup de gens réutilisent les mots de passe sur plusieurs sites Web et lorsque la base de données de mots de passe d’un site Web fuit, ce mot de passe peut être utilisé pour se connecter à leurs comptes de messagerie.

Cela ne signifie pas que vous devez réutiliser les mots de passe. Vous ne devez pas réutiliser les mots de passe. Vous devez utiliser un bon gestionnaire de mots de passe pour suivre les mots de passe forts et uniques.

Pourquoi les gens disent que l’authentification SMS est mauvaise ?

L’authentification à deux facteurs basée sur SMS n’est pas considérée comme idéale, car quelqu’un pourrait hacker votre numéro de téléphone ou intercepter vos messages texte. Par exemple :

– Un attaquant pourrait vous usurper et déplacer votre numéro de téléphone sur un nouveau téléphone dans une arnaque de portage de numéro de téléphone. C’est l’attaque la plus probable.

– Un attaquant pourrait intercepter des messages SMS destinés à vous. Par exemple, ils pourraient usurper une tour de téléphonie cellulaire près de chez vous ou un gouvernement pourrait utiliser son accès au réseau cellulaire pour transmettre des messages.

C’est pourquoi les experts recommandent d’utiliser une autre méthode à deux facteurs, celle qui ne peut pas être aussi facilement abusée par les gouvernements et n’est pas vulnérable si votre opérateur de téléphonie cellulaire donne votre numéro de téléphone à quelqu’un d’autre. Si vous obtenez le code d’une application sur votre téléphone ou une clé de sécurité physique que vous connectez, votre système à deux facteurs n’est pas vulnérable aux problèmes du réseau téléphonique. L’attaquant aurait besoin de votre téléphone déverrouillé ou de la clé de sécurité physique que vous devez vous connecter.

Bien sûr, dans un monde parfait, le SMS n’est pas la solution idéale. Nous avons expliqué pourquoi les experts en sécurité n’apprécient pas l’authentification en deux étapes par SMS. Mais, même lorsque nous avons présenté ce cas, nous avons essayé de clarifier une chose : l’authentification à deux facteurs basée sur SMS est bien meilleure que rien.

Certaines personnes ont besoin de plus de sécurité que les SMS.

L’utilisateur moyen suffit avec l’authentification par SMS pour le moment. L’authentification basée sur SMS fait que les attaquants éprouvent beaucoup de difficultés à accéder à votre compte et vous ne devriez probablement pas en avoir la peine quand il existe d’autres cibles plus simples et plus faciles à utiliser. La plupart des gens n’utilisent même pas l’authentification SMS et le Web serait un endroit beaucoup plus sécurisé si tout le monde le faisait.
La personne moyenne va bien avec l’authentification par SMS pour le moment. L’authentification basée sur SMS fait que les attaquants éprouvent beaucoup de difficultés à accéder à votre compte et vous ne devriez probablement pas en avoir la peine quand il existe d’autres cibles plus simples et plus faciles à utiliser. La plupart des gens n’utilisent même pas l’authentification SMS et le Web serait un endroit beaucoup plus sécurisé si tout le monde le faisait.

Les personnes susceptibles d’être ciblées par des attaquants sophistiqués devraient éviter l’authentification par SMS. Par exemple, si vous êtes un politicien, un journaliste, une célébrité ou un chef d’entreprise, vous pourriez être ciblé. Si vous êtes une personne ayant accès à des données d’entreprise sensibles, à un administrateur système ayant un accès approfondi à des systèmes sensibles ou à une personne ayant beaucoup d’argent en banque, SMS peut être trop risqué.

Mais si vous êtes la personne moyenne avec un compte GMail ou Facebook et que personne n’a de raison de passer du temps à accéder à vos comptes, l’authentification SMS est correcte et vous devez absolument l’activer plutôt que de ne rien utiliser du tout.

Voici une autre vérité malheureuse que tout le monde semble ignorer : même si vous évitez l’authentification à deux facteurs par SMS pour un compte, SMS est probablement disponible en tant que méthode de secours. Par exemple, même si vous générez des codes avec une application pour vous connecter à votre compte Google, vous pouvez récupérer votre compte à l’aide de votre numéro de téléphone. Ceci afin de vous protéger si vous perdez l’accès à votre téléphone ou à votre jeton à deux facteurs.

En d’autres termes, de nombreux services, voire la plupart, vous permettent d’accéder à votre compte avec votre numéro de téléphone, même si vous utilisez la plupart du temps un code généré par l’application ou une clé de sécurité physique. Vous êtes seulement aussi sûr que le maillon le plus faible du système. Essayez de vérifier les autres façons de vous connecter si vous ne possédez pas votre méthode habituelle.

C’est pourquoi, pour verrouiller un compte Google, vous n’avez pas seulement besoin d’éviter l’authentification en deux étapes par SMS. Vous devez également vous inscrire au programme de protection avancée de Google, à savoir Google pour les « journalistes, activistes, chefs d’entreprise et équipes de campagne politique ». Ce programme gratuit nécessite l’utilisation d’une clé de sécurité physique pour se connecter. informations pour récupérer votre compte.

Veuillez svp utilisez la protection par SMS si vous n’utilisez pas 2FA pour le moment.

Nous ne voulons pas vous donner un faux sentiment de sécurité : si vous êtes susceptible d’être la cible de gouvernements étrangers, d’espions d’entreprises ou de criminels organisés, vous devez absolument éviter l’authentification à deux facteurs par SMS et verrouiller votre comptes avec quelque chose de plus sécurisé.

Mais si vous êtes la personne moyenne qui n’a pas encore activé l’authentification à deux facteurs, ne soyez pas découragé : deux facteurs basés sur SMS vous rendront beaucoup plus sûr qu’aucun facteur à deux facteurs. C’est une base de référence importante pour la sécurité.

Tout le monde devrait utiliser la vérification par SMS à moins d’utiliser quelque chose de mieux.

A lire aussi : 6 conseils pratiques pour protéger vos données personnelles contre le piratage.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage