Protégez-vous: comment choisir la bonne application d'authentification à deux facteurs
L'ajout d'une authentification à plusieurs facteurs (souvent appelée authentification à deux facteurs ou 2FA) à des comptes en ligne de grande valeur constitue probablement la précaution de sécurité la plus importante que vous puissiez prendre. Son installation ne prend que quelques minutes et le résultat est une couche de protection qui empêchera les intrus d’intercepter votre courrier électronique, de voler des fonds sur votre compte bancaire ou de détourner vos médias sociaux.
Dans cet article, je décris la forme la plus élémentaire de 2FA, qui utilise une application d'authentification installée sur un téléphone mobile pour fournir une deuxième forme de preuve d'identité en cas de besoin. Dans ce cas, les deux facteurs sont le classique "quelque chose que vous connaissez" (vos informations d'identification de connexion) et "quelque chose que vous possédez" (l'appareil mobile que vous avez configuré avec un secret partagé). La combinaison de ces deux facteurs établit la barre de preuve d'identité suffisamment élevée pour que votre voleur moyen ne puisse pas s'en remettre.
Lorsque vous utilisez vos informations d'identification pour vous connecter à un appareil non approuvé, le service vous demande de saisir un code d'algorithme de mot de passe à utilisation unique basé sur le temps (TOTP) généré par cette application ou de répondre à une notification sur l'appareil. Après avoir réussi ce défi, vous pouvez généralement désigner un périphérique personnel comme étant de confiance et ignorer les codes pour les futures connexions.
La plupart des gens choisissent une seule application 2FA et l'utilisent pour chaque service. Ma configuration est un peu différente, car j'ai deux téléphones que j'utilise indifféremment et un nombre de comptes en ligne supérieur à la moyenne sur lequel 2FA est activé. J'ai opté pour une configuration de sécurité qui utilise trois applications d'authentification distinctes, chacune avec son propre rôle de sécurité spécifique à jouer.
Cette configuration peut sembler déroutante en théorie, mais elle résout plusieurs problèmes avec élégance, et elle n’est pas du tout gênante en pratique. Le même régime pourrait fonctionner pour vous.
Voici le tl & dr: Si vous protégez des comptes Google, utilisez l'application Google Authenticator. Pour les comptes Microsoft, utilisez l'application Microsoft Authenticator. Pour tous les autres comptes, utilisez l'une de ces applications ou choisissez une alternative tierce, telle qu'Authy, qui vous permet de sauvegarder et de restaurer vos configurations de sécurité afin que vous puissiez rester en sécurité lorsque vous changez de téléphone.
Permettez-moi de vous présenter ces trois applications, avec des détails sur les points forts uniques de chacune d’elles. Tous les trois sont entièrement gratuits et sont disponibles pour les plateformes iOS et Android.
Google Authenticator
Si vous accédez à n'importe quel service en ligne prenant en charge les codes TOTP à six chiffres qui sont au cœur de 2FA, voici l'application qu'il vous est demandé de télécharger. Le sale petit secret est qu'il n'y a rien de spécial dans la façon dont l'application Authenticator de Google marque ces codes. Pour les applications et les services tiers, vous pouvez utiliser l’un des trois authentifiants 2FA que je décris ici.
L’application de Google se démarque naturellement lors de la protection de la connexion à vos comptes Google. Cela inclut à la fois les comptes personnels (Gmail, YouTube et autres services grand public) et les applications G Suite gérées par une organisation.
Pour configurer 2FA sur un compte Google personnel, accédez à la page https://myaccount.google.com/security et cliquez sur Vérification en deux étapes, comme indiqué ici.
L'option par défaut, une invite Google à laquelle vous répondez sur votre appareil mobile, ne nécessite pas l'application Authenticator. Si vous êtes connecté avec le compte correspondant sur un appareil Android ou dans l'application Gmail sur un iPhone, vous pouvez répondre à l'invite, comme indiqué à gauche ci-dessous, et vous connecter.
Pour configurer l'application Authenticator pour la première fois, utilisez son option dans la rubrique Configurer une deuxième étape alternative. Ouvrez l'application, cliquez sur le bouton + pour ajouter votre compte et scannez le code à barres QR. Entrez le code temporel à six chiffres pour confirmer que votre configuration est correcte et que vous avez terminé.
Si vous ne pouvez pas recevoir l'invite, pour une raison quelconque, ou si vous préférez une autre méthode d'authentification, cliquez sur le lien Essayer un autre moyen de connexion, ce qui vous permet de choisir l'une des options que vous avez configurées précédemment, comme indiqué à droite. au dessous de.
L’interface de configuration et de réponse aux options d’authentification est la même pour les comptes G Suite, bien qu’un administrateur doive activer la fonctionnalité à partir de la console d’administration de G Suite, où il peut également limiter les types d’authentification autorisés et renforcer la sécurité en désactivant le possibilité de faire confiance à un appareil ou de recevoir des codes via SMS ou un appel téléphonique.
Pour configurer des comptes 2FA tiers dans l'application Google, cliquez sur le bouton +, puis scannez le code à barres ou entrez manuellement les informations de configuration. Vous pouvez utiliser les codes générés ici pour toute preuve 2FA basée sur TOTP.
Bien que vous puissiez installer l'application Google Authenticator sur plusieurs téléphones, vous ne pouvez utiliser qu'un seul appareil à la fois et vous ne pouvez pas partager les comptes entre les appareils. Vous pouvez déplacer vos comptes existants vers un nouveau téléphone, mais il n'existe aucun moyen pris en charge de sauvegarder et de restaurer des configurations.
Microsoft Authenticator
À première vue, l’Authenticator de Microsoft ressemble assez à l’équivalent de Google. Il génère les mêmes codes TOTP à six chiffres pour les comptes 2FA tiers, mais fait de son mieux pour les comptes Microsoft grand public et les comptes Azure AD gérés par l'entreprise.
Après avoir installé l'application Authenticator, vous pouvez configurer les paramètres 2FA pour un compte Microsoft gratuit à l'adresse https://account.live.com/proofs. Vous n'avez pas besoin d'un code QR; connectez-vous avec votre nom d'utilisateur et votre mot de passe dans l'application, puis répondez à l'une des preuves que vous avez déjà configurée. Une fois la configuration terminée, une notification push s'affiche lorsque vous vous connectez à un nouveau périphérique.
Notez que vous pouvez configurer et utiliser l'application Microsoft Authenticator sur plusieurs périphériques simultanément. Les codes d’authentification à huit chiffres sont les mêmes d’un appareil à l’autre et vous pouvez répondre aux invites de tout appareil correctement configuré.
Pour les comptes Azure Active Directory, la configuration est un peu différente. Un administrateur doit activer l'authentification multi-facteurs à partir de la console d'administration Office 365 ou Azure AD. après cela, les utilisateurs gèrent la vérification de la sécurité en accédant à https://account.activedirectory.windowsazure.com/Proofup.aspx. Là, vous pouvez configurer plusieurs options de vérification de la sécurité et attribuer une option préférée, comme illustré ici.
Pour une sécurité maximale, désactivez l'option d'authentification à l'aide des codes envoyés par SMS et n'autorisez que les appels destinés à votre numéro de bureau, une invite ou un code de l'application Authenticator. Vous pouvez choisir l’une de ces options au moment de la connexion.
Pour les comptes Azure AD, vous pouvez configurer l'application Authenticator sur plusieurs périphériques. Elle fonctionnera correctement. Vous pouvez également utiliser cette application pour configurer des comptes tiers 2FA (Facebook, Twitter, QuickBooks, etc.) dans cette application et utiliser ses codes pour vous connecter.
La version iOS de Microsoft Authenticator vous permet de sauvegarder les paramètres sur iCloud, ce qui permet de copier les paramètres d'un iPhone à un autre relativement facilement. Hélas, une option similaire n'est pas disponible pour les appareils Android.
Authy
Une fonction spéciale
La cyberguerre et l'avenir de la cybersécurité
Les menaces actuelles à la sécurité ont pris de l'ampleur et de l'ampleur. Des millions, voire des milliards de dollars peuvent maintenant être en jeu lorsque la sécurité des informations n'est pas gérée correctement.
Lire la suite
Bien que vous puissiez configurer des comptes 2FA tiers dans l'application Google ou Microsoft Authenticator, vous ne pouvez pas synchroniser ces comptes entre appareils entre les deux appareils, ni sauvegarder et restaurer facilement les paramètres entre appareils. Et c’est pourquoi, en fin de compte, je ne souhaite utiliser aucune de ces applications pour des comptes tiers.
Au lieu de cela, j'utilise et recommande l'application gratuite Authy. Vous pouvez y ajouter n'importe quel compte 2FA, scanner le code QR pour configurer le secret partagé et être prêt à partir en quelques minutes. Mieux encore, vous pouvez sauvegarder et restaurer ces paramètres et configurer un périphérique secondaire en utilisant les mêmes informations de compte. Pour ceux qui changent régulièrement d'appareils mobiles, il s'agit d'une fonctionnalité qui tue.
Lorsque vous avez configuré Authy sur deux périphériques ou plus, la configuration d'un compte sur un périphérique transmet automatiquement ces paramètres au nouveau périphérique. Vous n'avez donc pas besoin de configurer manuellement l'authentification dans plusieurs endroits ni de perdre votre accès. aux comptes importants si vous perdez votre appareil principal ou s’il est endommagé.
Le mot de passe de sauvegarde, qui gère la synchronisation entre les périphériques, n'est pas stocké sur les serveurs qui synchronisent les paramètres Authy entre les périphériques. Il n'est utilisé que localement, ce qui signifie que même si les serveurs d'Authy sont compromis, un intrus ne peut pas récupérer vos informations 2FA sans la clé de cryptage de sauvegarde. Si vous perdez cette clé, vous ne pourrez pas récupérer vos codes 2FA si votre seul appareil est perdu, volé ou endommagé.
Bien sûr, vous n'avez pas besoin de sauvegarder vos paramètres dans le cloud. Vous pouvez garder ces paramètres complètement locaux, mais si vous le faites, vous perdez la possibilité de synchroniser et de sauvegarder les jetons de sécurité. (Et si vous voulez savoir comment Authy gère ces sauvegardes, lisez l'explicateur ici.)
Donc, pour récapituler, j'utilise Google Authenticator pour mes comptes Google et Microsoft Authenticator for Microsoft. Dans ces deux cas, je dois rarement ouvrir l'application manuellement, car je peux simplement répondre aux invites si nécessaire. Pour tout le reste, Authy est mon application incontournable.
Si vous avez une alternative préférée, parlez-moi-en dans les commentaires ci-dessous.
