L'authentification à deux facteurs (2FA) est la méthode la plus efficace pour empêcher l'accès non autorisé à un compte en ligne. Besoin de convaincre? Jetez un œil à ces chiffres à couper le souffle de Microsoft.
Les chiffres difficiles
En février 2020, Microsoft a donné une présentation au Conférence RSA intitulé «Rupture des dépendances des mots de passe: défis du dernier kilomètre chez Microsoft». L'ensemble de la présentation était fascinant si vous souhaitez savoir comment sécuriser les comptes d'utilisateurs. Même si cette pensée engourdit votre esprit, les statistiques et les chiffres présentés étaient incroyables.
Microsoft suit chaque mois plus d'un milliard de comptes actifs, ce qui près d’un huitième de la population mondiale . Ceux-ci génèrent plus de 30 milliards d'événements de connexion mensuels. Chaque connexion à un compte d'entreprise O365 peut générer plusieurs entrées de connexion sur plusieurs applications, ainsi que des événements supplémentaires pour d'autres applications qui utilisent O365 pour l'authentification unique.
Si ce nombre semble grand, gardez à l'esprit que Microsoft arrête chaque jour 300 millions de tentatives de connexion frauduleuses . Encore une fois, ce n’est pas par an ou par mois, mais 300 millions par jour .
En janvier 2020, 480 000 comptes Microsoft, soit 0,048% de tous les comptes Microsoft, ont été compromis par des attaques par pulvérisation. C'est quand un attaquant exécute un mot de passe commun (comme «Spring2020!») Contre des listes de milliers de comptes, dans l'espoir que certains d'entre eux auront utilisé ce mot de passe commun.
Les sprays ne sont qu'une forme d'attaque; des centaines et des milliers d'autres ont été causés par le bourrage d'informations d'identification. Pour les perpétuer, l'attaquant achète des noms d'utilisateur et des mots de passe sur le dark web et les essaie sur d'autres systèmes.
Ensuite, il y a phishing , c'est-à-dire lorsqu'un attaquant vous convainc de vous connecter à un faux site Web pour obtenir votre mot de passe. Ces méthodes sont la façon dont les comptes en ligne sont généralement «piratés», dans le langage courant.
Au total, plus d'un million de comptes Microsoft ont été violés en janvier. Cela représente un peu plus de 32 000 comptes compromis par jour, ce qui semble mauvais tant que vous ne vous souvenez pas des 300 millions de tentatives de connexion frauduleuses arrêtées par jour.
Mais le chiffre le plus important de tous est que 99,9% de toutes les violations de compte Microsoft auraient été arrêtées si les comptes avaient une authentification à deux facteurs activée.
EN RELATION: Que devez-vous faire si vous recevez un e-mail de phishing?
Qu'est-ce que l'authentification à deux facteurs?
Pour rappel, authentification à deux facteurs (2FA) nécessite une méthode supplémentaire pour authentifier votre compte plutôt qu'un simple nom d'utilisateur et mot de passe. Cette méthode supplémentaire est souvent un code à six chiffres envoyé sur votre téléphone par SMS ou généré par une application. Vous saisissez ensuite ce code à six chiffres dans le cadre de la procédure de connexion de votre compte.
L'authentification à deux facteurs est un type d'authentification multifacteur (MFA). Il existe également d'autres méthodes MFA, notamment les jetons USB physiques que vous connectez à votre appareil ou des analyses biométriques de votre empreinte digitale ou de votre œil. Cependant, un code envoyé à votre téléphone est de loin le plus courant.
Cependant, l'authentification multifactorielle est un terme large - un compte très sécurisé peut nécessiter trois facteurs au lieu de deux, par exemple.
EN RELATION: Qu'est-ce que l'authentification à deux facteurs et pourquoi en ai-je besoin?
Est-ce que 2FA aurait stoppé les violations?
Dans les attaques par pulvérisation et le bourrage d'informations d'identification, les attaquants ont déjà un mot de passe. Avec le phishing, les attaquants ont à la fois votre mot de passe et votre nom de compte, ce qui est encore pire.
Si l'authentification multifacteur avait été activée pour les comptes Microsoft qui ont été violés en janvier, le simple fait d'avoir le mot de passe n'aurait pas suffi. Le pirate informatique aurait également eu besoin d'accéder aux téléphones de ses victimes pour obtenir le code MFA avant de pouvoir se connecter à ces comptes. Sans le téléphone, l’attaquant n’aurait pas pu accéder à ces comptes et ils n’auraient pas été piratés.
Si vous pensez que votre mot de passe est impossible à deviner et que vous ne serez jamais victime d’une attaque de phishing, plongeons dans les faits. Selon Alex Weinart, architecte principal chez Microsoft, votre mot de passe réellement peu importe lorsqu'il s'agit de sécuriser votre compte.
Cela ne s'applique pas uniquement aux comptes Microsoft: chaque compte en ligne est tout aussi vulnérable s'il n'utilise pas l'authentification multifacteur. Selon Google, MFA s'est arrêté à 100% d'attaques de robots automatisées (attaques par pulvérisation, bourrage d'informations d'identification et méthodes automatisées similaires).
Si vous regardez en bas à gauche du graphique de recherche de Google, la méthode "Clé de sécurité" a été efficace à 100% pour arrêter les bot automatisés, le phishing et les attaques ciblées.
Alors, quelle est la méthode «Security Key»? Il utilise une application sur votre téléphone pour générer un code MFA.
Alors que la méthode du «code SMS» était également très efficace - et c’est absolument mieux que de ne pas avoir de MFA du tout —Une application est encore meilleure. Nous recommandons Authy , car il est gratuit, facile à utiliser et puissant.
EN RELATION: L'authentification SMS à deux facteurs n'est pas parfaite, mais vous devriez toujours l'utiliser
Comment activer 2FA pour tous vos comptes
Vous pouvez activer 2FA ou un autre type de MFA pour la plupart des comptes en ligne. Vous trouverez le paramètre à différents endroits pour différents comptes. En général, cependant, c'est dans le menu des paramètres du compte sous "Compte" ou "Sécurité".
Heureusement, nous avons des guides qui expliquent comment activer l'authentification multifacteur pour certains des sites Web et des applications les plus populaires:
- Amazon
- identifiant Apple
- Google / Gmail
- Microsoft
- Nid
- Nintendo
- Bague
- Mou
- Vapeur
MFA est le moyen le plus efficace de sécuriser vos comptes en ligne. Si vous ne l'avez pas encore fait, prenez le temps de l'activer dès que possible, en particulier pour les comptes critiques, comme les e-mails et les services bancaires.
