Dans une quête de sécurité parfaite, le parfait est l'ennemi du bien. Les gens critiquent les SMS authentification à deux facteurs à la suite de le hack Reddit , mais l'utilisation de deux facteurs par SMS est toujours bien meilleure que de ne pas utiliser du tout l'authentification à deux facteurs.
Plus de 90% des utilisateurs de Gmail n'utilisent pas l'authentification à deux facteurs
Les professionnels de la sécurité qui disent que la vérification par SMS n'est pas assez bonne prennent trop d'avance sur eux-mêmes. Plus de 90% des utilisateurs de Gmail n'utilisent pas du tout d'authentification à deux facteurs, selon un présentation L'ingénieur de Google Grzegorz Milka a donné à USENIX Enigma 2018. La première chose que la plupart des gens peuvent faire pour se protéger en ligne est d'activer tout type d'authentification à deux facteurs pour leurs comptes importants.
Pensez-y comme ça. Supposons que vous souhaitiez verrouiller votre porte d'entrée pour protéger votre maison. Les professionnels de la sécurité affirment que le meilleur type de serrure disponible est bien meilleur que les serrures moins chères. Bien sûr, cela a du sens. Mais si cette serrure plus chère n'est pas disponible pour vous, ne vaut-il pas mieux avoir une serrure moins chère que de ne pas avoir de serrure du tout?
Oui, l'authentification à deux facteurs basée sur l'application est meilleure que l'authentification basée sur SMS. Mais, si le SMS est tout ce qu’offre un service, c’est toujours mieux que de ne pas l’utiliser du tout.
Les deux facteurs basés sur les SMS ont quelques faiblesses, mais cela manque le point. Un attaquant devra passer du temps à contourner votre vérification par SMS. Et la plupart des objectifs ne valent probablement pas autant d’efforts.
Pourquoi vous avez besoin d'une authentification à deux facteurs
L'authentification à deux facteurs est nommée ainsi car elle vous oblige à avoir deux choses pour accéder à votre compte: quelque chose que vous connaissez (votre mot de passe) et quelque chose que vous avez (un code de sécurité supplémentaire de votre appareil mobile ou un jeton physique).
Lorsque vous activez l'authentification à deux facteurs par SMS, le service envoie à votre numéro de téléphone mobile un message texte contenant un code à usage unique chaque fois que vous vous connectez à partir d'un nouvel appareil. Ainsi, même si quelqu'un a votre nom d'utilisateur et votre mot de passe pour ce compte, il ne pourra pas se connecter à votre compte sans accéder à vos SMS.
Il y a aussi d'autres types de méthodes à deux facteurs , comprenant applications sur votre téléphone qui génèrent des codes de sécurité temporaires et clés de sécurité physiques vous devez vous connecter à votre ordinateur.
Tout type d'authentification à deux facteurs offre une protection considérable pour les comptes importants tels que vos e-mails, vos réseaux sociaux et vos comptes bancaires. Cela est particulièrement vrai si vous réutilisez les mots de passe. De nombreuses personnes réutilisent les mots de passe sur plusieurs sites Web et, en cas de fuite de la base de données de mots de passe d’un site Web, ce mot de passe peut être utilisé pour se connecter à leurs comptes de messagerie . L'authentification à deux facteurs arrêterait ce droit dans son élan.
Cela ne signifie pas que vous devez réutiliser les mots de passe. Vous ne devez pas réutiliser les mots de passe. Vous devriez utiliser un bon gestionnaire de mots de passe pour garder une trace de mots de passe forts et uniques.
Pourquoi les gens disent-ils que l'authentification par SMS est mauvaise?
L'authentification à deux facteurs par SMS n'est pas considérée comme idéale, car quelqu'un pourrait voler votre numéro de téléphone ou intercepter vos SMS. Par exemple:
- Un attaquant pourrait se faire passer pour vous et déplacer votre numéro de téléphone vers un nouveau téléphone dans un escroquerie de portage de numéro de téléphone . C'est l'attaque la plus probable.
- Un attaquant pourrait intercepter les SMS qui vous sont destinés. Par exemple, ils pourraient usurper une tour de téléphonie cellulaire près de chez vous, ou un gouvernement pourrait utiliser son accès au réseau cellulaire pour transférer des messages.
C'est pourquoi les experts recommandent d'utiliser une autre méthode à deux facteurs, une méthode qui ne peut pas être aussi facilement utilisée par les États-nations et qui n'est pas vulnérable si votre opérateur de téléphonie mobile donne votre numéro de téléphone à quelqu'un d'autre. Si vous obtenez votre code à partir d'une application sur votre téléphone ou d'une clé de sécurité physique que vous branchez, votre double facteur n'est pas vulnérable aux problèmes avec le réseau téléphonique. L'attaquant aurait besoin de votre téléphone déverrouillé ou de la clé de sécurité physique dont vous disposez pour vous connecter.
Bien sûr, dans un monde parfait, le SMS n’est pas la solution idéale. Nous avons expliqué pourquoi les experts en sécurité n'aiment pas l'authentification en deux étapes par SMS . Mais, même lorsque nous avons présenté ce cas, nous avons essayé de clarifier une chose: l'authentification à deux facteurs basée sur SMS est bien meilleure que rien.
EN RELATION: Pourquoi vous ne devriez pas utiliser SMS pour l'authentification à deux facteurs (et quoi utiliser à la place)
Certaines personnes ont besoin de plus de sécurité que les SMS
La personne moyenne est d'accord avec l'authentification par SMS pour le moment. L'authentification par SMS oblige les attaquants à passer par beaucoup de problèmes supplémentaires pour accéder à votre compte, et vous ne valez probablement pas leur peine quand il existe d'autres cibles plus faciles et plus juteuses. La plupart des gens n'utilisent même pas l'authentification par SMS, et le Web serait un endroit beaucoup plus sûr si tout le monde le faisait.
Les personnes susceptibles d'être ciblées par des attaquants sophistiqués doivent éviter l'authentification par SMS. Par exemple, si vous êtes un politicien, un journaliste, une célébrité ou un chef d'entreprise, vous pourriez être ciblé. Si vous êtes une personne ayant accès à des données d'entreprise sensibles, un administrateur système avec un accès approfondi à des systèmes sensibles ou simplement quelqu'un avec beaucoup d'argent en banque, les SMS peuvent être trop risqués.
Mais, si vous êtes la personne moyenne avec un compte Gmail ou Facebook et que personne n'a de raison de passer beaucoup de temps à accéder à vos comptes, l'authentification par SMS est très bien et vous devez absolument l'activer plutôt que de ne rien utiliser du tout.
Vous n'êtes aussi sûr que le lien le plus faible
Voici une autre triste vérité que tout le monde semble ignorer: même si vous évitez l'authentification à deux facteurs par SMS pour un compte, le SMS est probablement disponible comme méthode de secours. Par exemple, même si vous générez des codes avec une application pour vous connecter à votre compte Google, vous pouvez récupérer votre compte en utilisant votre numéro de téléphone. C'est pour te protéger si jamais tu perdre l'accès à votre téléphone à deux facteurs ou jeton.
En d'autres termes, de nombreux services - probablement même la plupart - vous permettent d'accéder à votre compte avec votre numéro de téléphone, même si vous utilisez la plupart du temps un code généré par l'application ou une clé de sécurité physique. Vous n'êtes aussi sûr que le maillon le plus faible du système. Essayez de vérifier les autres méthodes de connexion si vous ne disposez pas de votre méthode habituelle.
C'est pourquoi, pour vraiment verrouiller un compte Google, il n'est pas seulement nécessaire d'éviter l'authentification en deux étapes par SMS. Vous devez également vous inscrire à Google’s Advanced Protection Program , Google fait de la publicité pour «des journalistes, des militants, des chefs d'entreprise et des équipes de campagne politique». Ce programme gratuit nécessite que vous utilisiez une clé de sécurité physique pour vous connecter, mais il exige également beaucoup plus d'informations pour récupérer votre compte.
Veuillez utiliser le SMS si vous n'utilisez pas actuellement 2FA
Nous ne voulons pas vous endormir dans un faux sentiment de sécurité: si vous êtes une personne susceptible d'être la cible de gouvernements étrangers, d'espions d'entreprises ou de criminels organisés, vous devez absolument éviter l'authentification à deux facteurs par SMS et verrouiller votre comptes avec quelque chose de plus sécurisé.
Mais, si vous êtes la personne moyenne qui n’a pas encore activé l’authentification à deux facteurs, ne vous en faites pas: les SMS à deux facteurs vous rendront beaucoup plus sûr que pas du tout à deux facteurs. C’est une base de référence importante pour la sécurité.
Tout le monde devrait utiliser la vérification par SMS à moins d'utiliser quelque chose de mieux.
Image Credit: bluestok /Shutterstock.com.
