Conseils

Comment utiliser l'authentification multifacteur (MFA) pour avoir des applications plus sûres

David Strom, 3 août 2020

Rester en sécurité est un voyage en plusieurs étapes

Qu'est-ce que la MFA et pourquoi devriez-vous vous en soucier ?

En un mot, l'authentification multifacteur (MFA) signifie le fait d'utiliser autre chose que votre mot de passe pour accéder à votre compte. Il existe de nombreuses façons de le faire - certaines, telles que l'envoi d'un code PIN à usage unique sur votre téléphone, sont moins sécurisées que d'autres, comme l'utilisation d'une clé de sécurité Google Titan à 25 $ ou de l'application gratuite Authy / Twilio pour smartphone. L'idée est que si votre mot de passe est compromis (comme un mot de passe réutilisé qui a déjà été divulgué lors d'une autre violation), votre compte est toujours sécurisé car vous disposez de ce secret supplémentaire pour y accéder.

Cependant, l'authentification multifacteur est-elle légèrement gênante et nécessite-t-elle des efforts supplémentaires pour se connecter ? En règle générale, oui. Cependant, en comparant cet inconvénient aux conséquences du vol de votre identité ou de vos fonds en raison d'une mauvaise hygiène de sécurité, il devient clair que cela en vaut la peine.

Twitter a récemment été piraté et il semble que ce soit le résultat d'un stratagème d'ingénierie sociale sur l'un de ses employés. Les pirates ont pu réinitialiser les mots de passe des comptes via leurs outils d'administration, que l'authentification multifacteur soit activée ou non.

Après avoir entendu la nouvelle, j'ai réalisé que j'avais toujours activé les SMS sur Twitter et également sur PayPal. Il est important de noter que cette méthode est moins sécurisée que d'autres. Dans cet esprit, permettez-moi de vous donner des instructions sur l'ajout du meilleur type d'authentification multifacteur à vos comptes.

Configuration des méthodes MFA sur Twitter

Pour Twitter , allez dans Paramètres et confidentialité , cliquez sur Sécurité , puis sur Authentification à deux facteurs. Vous pourrez sélectionner jusqu'à trois méthodes différentes à utiliser pour protéger votre compte.

Les messages texte, qui est, comme je l'ai mentionné, la méthode la moins sécurisée. En effet, les pirates ont trouvé une variété de moyens pour neutraliser le code PIN transmis de cette manière. Si vous êtes intimidé par les autres méthodes mentionnées ci-dessous, alors oui, le SMS vaut mieux que rien. Mais si vous pouvez aller de l'avant et implémenter l'une des autres méthodes, vous serez mieux protégé.

L'application d'authentification, qui utilise une application gratuite sur votre smartphone d'Authy (Google, Microsoft et de nombreux autres fournisseurs en proposent également une) qui génère un code PIN à usage unique. Vous ouvrez l'application, vous recherchez le site Web particulier auquel vous souhaitez accéder et vous copiez le code PIN à six chiffres de votre téléphone sur la page de connexion. Le code PIN change toutes les 30 secondes, le seul problème est donc de s'assurer qu'il n'a pas changé entre le moment où vous l'avez vu dans la liste et celui dont vous avez besoin pour vous connecter avec succès. Si vous n'avez pas de smartphone, vous ne pouvez évidemment pas utiliser cette méthode. Mais sinon, il s'agit d'un processus relativement simple - vous êtes invité à saisir à nouveau votre mot de passe Twitter, puis vous scannez un code QR avec votre téléphone pour lier l'application d'authentification à votre compte Twitter,

La clé de sécurité, qui est un porte- clés physique distinct qui n'affiche aucun code PIN mais dont le code PIN secret est intégré dans son matériel. Une fois que vous avez activé l'application d'authentification, vous pouvez également sélectionner cette option. Au lieu de copier le code PIN, il vous suffit d'appuyer sur un bouton de la télécommande pour transmettre les informations à l'invite de connexion. Vous voudrez probablement avoir au moins deux clés au cas où vous en perdriez une ou l'aviez ailleurs (comme votre voiture et votre maison), car sans elle, vous ne pouvez pas accéder à votre compte.

Configuration des méthodes MFA sur Facebook

Si vous utilisez un navigateur Web, cliquez sur le petit triangle en haut à droite de la barre de navigation de votre compte, puis sur Paramètres et confidentialité, puis sur Paramètres, puis sur Sécurité et connexion, et enfin sur le bouton Modifier sous l'authentification à deux facteurs. Après avoir saisi à nouveau le mot de passe de votre compte, vous devriez vous retrouver sur cette page. Vous aurez quelque chose de similaire aux trois choix de Twitter (application d'authentification, clé de sécurité et messages texte). Une fois que vous avez terminé d'ajouter les méthodes MFA supplémentaires, revenez à la page de sécurité principale et examinez les connexions autorisées à partir de périphériques particuliers et assurez-vous de les reconnaître.

Pinterest a une série d'étapes similaire à Facebook

Cliquez sur le petit triangle de la barre supérieure pour accéder aux paramètres de votre compte, puis accédez à Sécurité. Sous Authentification à deux facteurs, cochez la case pour l'exiger lors de la connexion, et vous serez invité à entrer votre numéro de téléphone mobile où vous pourrez recevoir les codes PIN à usage unique. Notez que vous devez activer la méthode MFA de texte avant de pouvoir l'activer à l'aide de l'application Authy.

Une fois que vous avez ajouté la MFA à ces applications, vous voudrez peut-être voir ce que vous pouvez protéger de cette manière. Le meilleur endroit pour savoir si l'une de vos applications utilise cette protection supplémentaire est TwoFactor qui s'efforce de rester à jour. Par exemple, je recommande que tout ce qui implique de l'argent (comme votre banque, votre compagnie d'assurance et vos investissements), doit être protégé avec  la MFA. Malheureusement, bon nombre de ces sites n'offrent qu'une MFA basée sur du texte (comme Bank of America, TD Ameritrade et Prudential Financial), le cas échéant. 

Enfin, il y a Snapchat

Accédez à l'écran de votre profil, cliquez sur l'icône d'engrenage pour accéder à vos paramètres, faites défiler jusqu'à Authentification à deux facteurs. Vous verrez l'écran où vous pouvez activer l'application d'authentification. Si vous avez déjà installé une application, choisissez la méthode automatique et recopiez le code PIN dans l'application.

Un autre conseil : si vous configurez la MFA sur votre compte et que vous avez le choix d'utiliser un navigateur Web ou une application sur votre téléphone, choisissez le navigateur. Il est souvent plus facile de naviguer entre les différents écrans.

Comme vous pouvez le voir, la sécurité est un voyage en plusieurs étapes.


NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com

Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.