Il est temps d'arrêter d'utiliser les applications SMS et 2FA pour l'authentification à deux facteurs

Publicité

De nos jours, il semble que chaque site Web que vous visitez tente de vous encourager à utiliser l'authentification à deux facteurs (2FA).

L'une des façons les plus courantes d'utiliser 2FA consiste à saisir un code unique à partir de votre appareil mobile. En règle générale, vous recevez le code dans un message texte ou vous utilisez une application 2FA tierce pour en générer une.

Les deux méthodes sont toutes deux des moyens populaires d'utiliser des codes en raison de leur commodité. Cependant, les deux méthodes sont également faibles du point de vue de la sécurité. Et parce que votre code 2FA n'est aussi sûr que la technologie utilisée pour le fournir, les faiblesses sont importantes.

Alors, quel est le problème avec utiliser des SMS et des applications tierces pour accéder à vos codes Que sont les connexions sans mot de passe? Sont-ils réellement sécurisés?Les connexions sans mot de passe arrivent. Sont-ils sécurisés? Comment diable les connexions sans mot de passe fonctionnent-elles? Voici ce que vous devez savoir. Lire la suite

? Et existe-t-il une alternative tout aussi pratique et plus sûre? Nous allons tout expliquer. Continuez à lire pour en savoir plus.

Fonctionnement de l'authentification à deux facteurs

Prenons un moment pour discuter du fonctionnement de l'authentification à deux facteurs. Sans comprendre les mécanismes derrière la technologie, le reste de cet article n'aura pas beaucoup de sens.

En termes généraux, 2FA ajoute une couche de sécurité supplémentaire à votre compte Comment sécuriser vos comptes avec 2FA: Gmail, Outlook et plusL'authentification à deux facteurs peut-elle aider à sécuriser votre messagerie et vos réseaux sociaux? Voici ce que vous devez savoir pour vous sécuriser en ligne. Lire la suite . Également connues sous le nom d'authentification multifacteur, les informations d'identification de connexion se composent non seulement d'un mot de passe, mais également d'une deuxième information à laquelle seul le propriétaire légitime du compte a accès.

2FA se présente sous de nombreuses formes différentes Avantages et inconvénients des types et méthodes d'authentification à deux facteursLes méthodes d'authentification à deux facteurs ne sont pas créées égales. Certains sont manifestement plus sûrs et plus sûrs. Voici un aperçu des méthodes les plus courantes et celles qui répondent le mieux à vos besoins individuels. Lire la suite . À son niveau le plus élémentaire, cela pourrait être quelque chose d'aussi simple que des questions de sécurité (car personne d'autre ne pourrait connaître le nom de jeune fille de votre mère Pourquoi vous répondez mal aux questions de sécurité par mot de passeComment répondez-vous aux questions de sécurité des comptes en ligne? Des réponses honnêtes? Malheureusement, votre honnêteté pourrait créer une faille dans votre armure en ligne. Voyons comment répondre en toute sécurité aux questions de sécurité. Lire la suite ou votre animal préféré). À la fin la plus compliquée, il pourrait s'agir d'une identification biométrique telle qu'un scan de la rétine ou une empreinte digitale.

Pourquoi éviter la vérification par SMS

SMS jouit d'une position comme le moyen le plus accessible pour accéder et utiliser les codes 2FA. Si un site propose des connexions d'authentification à deux facteurs, il offre presque certainement SMS comme l'une des options.

Mais SMS n'est pas un moyen sûr d'utiliser 2FA. Il présente deux vulnérabilités clés.

Premièrement, la technologie est sensible aux attaques SIM Swap. Il ne faut pas grand-chose à un pirate informatique pour effectuer un échange de carte SIM. S'ils ont accès à une autre information personnelle, comme votre numéro de sécurité sociale, ils peuvent appeler votre opérateur et déplacer votre numéro vers une nouvelle carte SIM.

Deuxièmement, les pirates peuvent intercepter les messages SMS. Tout cela revient au système de routage téléphonique du système de signalisation n ° 7 (SS7) désormais obsolète. La méthodologie a été conçue en 1975 mais est encore utilisée presque globalement pour connecter et déconnecter les appels. Il gère également les traductions de numéros, la facturation prépayée et, surtout, les messages SMS.

Sans surprise, cette technologie de 1975 est pleine de failles de sécurité. Voici comment expert en sécurité Bruce Schneier décrit les défauts:

"Si les attaquants ont accès à un portail SS7, ils peuvent transférer vos conversations vers un appareil d'enregistrement en ligne et rediriger l'appel vers sa destination […] Cela signifie qu'un criminel bien équipé pourrait saisir vos messages de vérification et les utiliser avant même que vous ne les ayez vus leur."

Bien sûr, découvrir qu'un cybercriminel a piraté votre Facebook Comment savoir si votre compte Facebook a été piratéAvec Facebook hébergeant tant de données, vous devez protéger votre compte. Voici comment savoir si votre Facebook a été piraté. Lire la suite compte est loin d'être idéal. Mais la situation est plus effrayante quand on considère les autres utilisations du 2FA. Un cybercriminel pourrait voler des codes que vous utilisez dans vos opérations bancaires en ligne, ou même initier et terminer des transferts d'argent Les 6 meilleures applications pour envoyer de l'argent à des amisLa prochaine fois que vous devrez envoyer de l'argent à des amis, découvrez ces excellentes applications mobiles pour envoyer de l'argent à n'importe qui en quelques minutes. Lire la suite .

De plus, Schneier prétend également que n'importe qui peut acheter l'accès au réseau SS7 pour environ 1000 $. Une fois qu'ils y ont accès, ils peuvent envoyer une demande de routage. Pour résoudre le problème, le réseau peut ne pas authentifier la source de la demande.

N'oubliez pas, il est préférable d'utiliser l'authentification à deux facteurs via SMS que de laisser 2FA désactivé. Et il est probablement peu probable que vous deveniez une victime. Cependant, si vous commencez à vous sentir un peu inquiet, vous devez continuer à lire. Beaucoup de gens acceptent que les SMS ne soient pas sécurisés et se tournent plutôt vers des applications tierces.

Mais ce n'est peut-être pas beaucoup mieux.

Pourquoi vous devriez éviter les applications 2FA

L'autre façon courante d'utiliser les codes 2FA est d'installer une application dédiée pour smartphone. Il y a beaucoup de choix. Google Authenticator est sans doute le plus reconnaissable, mais ce n'est pas nécessairement le meilleur. Il existe de nombreuses alternatives: consultez Authy, Authenticator Plus et Duo.

Mais dans quelle mesure les applications spécialisées 2FA sont-elles sécurisées? Leur plus grande faiblesse est leur dépendance à une clé secrète.

Faisons un pas en arrière pendant une seconde. Au cas où vous ne le sauriez pas, lorsque vous vous inscrirez à la plupart des applications pour la première fois, vous devrez saisir une clé secrète. Le secret est partagé entre vous et le fournisseur de l'application.

Lorsque vous accédez à un site, le code que l'application crée est basé sur une combinaison de votre clé et de l'heure actuelle. Au même moment, le serveur génère un code utilisant les mêmes informations. Les deux codes doivent correspondre pour que l'accès soit accordé. Cela semble raisonnable.

Alors pourquoi les clés sont-elles le point faible? Eh bien, que se passe-t-il si un cybercriminel parvient à accéder à la base de données de mots de passe et secrets d'une entreprise? Chaque compte serait vulnérable - le l'attaquant pourrait aller et venir Comment vérifier si quelqu'un d'autre accède à votre compte FacebookC'est à la fois sinistre et inquiétant si quelqu'un a accès à votre compte Facebook à votre insu. Voici comment savoir si vous avez été violé. Lire la suite à volonté.

Deuxièmement, le secret est affiché en texte brut ou sous forme de code QR; ça ne peut pas être haché ou utilisé avec un sel Qu'est-ce que tout ce truc MD5 Hash signifie réellement [Explication de la technologie]Voici un aperçu complet de MD5, du hachage et un petit aperçu des ordinateurs et de la cryptographie. Lire la suite . Il est probablement également en texte brut sur les serveurs de l'entreprise.

La clé secrète est la faille fondamentale du mot de passe unique basé sur le temps (TOTP) que les applications spécialisées utilisent. C’est pourquoi une clé U2F physique est toujours une option plus sûre.

Failles dans la conception et la sécurité des applications 2FA

Bien sûr, les chances qu'un cybercriminel pirate les bases de données nécessaires d'une application tierce sont assez faibles. Mais votre application pourrait également souffrir de failles de sécurité de base dans sa conception.

Populaire gestionnaire de mots de passe LastPass 8 façons simples de booster votre sécurité LastPassVous utilisez peut-être LastPass pour gérer vos nombreux mots de passe en ligne, mais l'utilisez-vous correctement? Voici huit étapes que vous pouvez suivre pour rendre votre compte LastPass encore plus sécurisé. Lire la suite a été victime en décembre 2017. UNE blog du programmeur sur Medium a révélé que les clés secrètes 2FA étaient accessibles sans empreinte digitale, mot de passe ou autres mesures de sécurité.

La solution de contournement n'était même pas compliquée. En accédant à l'activité des paramètres de l'application LastPass Authenticator (com.lastpass.authenticator.activities. SettingsActivity), on pourrait entrer dans le volet des paramètres de l'application sans aucune vérification. De là, vous pouvez appuyer sur Arrière une fois pour accéder à tous les codes 2FA.

LastPass a maintenant corrigé la faille, mais des questions demeurent. Selon le programmeur, il avait essayé de parler de ce problème à LastPass pendant sept mois, mais la société ne l'a jamais résolu. Combien d'autres applications 2FA tierces ne sont pas sécurisées? Et combien de vulnérabilités non corrigées les développeurs connaissent-ils, mais retardent les correctifs? Il existe également des préoccupations en ce qui concerne perdre l'accès à votre générateur de code sur Facebook Comment se connecter à Facebook si vous avez perdu l'accès au générateur de codeVous avez perdu l'accès au générateur de code de Facebook? Cet article couvre les méthodes alternatives de connexion à votre compte Facebook. Lire la suite par exemple.

Que faire à la place: utilisez les clés U2F

Au lieu de compter sur SMS et 2FA pour vos codes, vous devez utiliser Touches universelles 2nd Factor Que sont les clés U2F et où sont-elles prises en charge?Les clés U2F sont l'un des meilleurs moyens de sécuriser vos comptes. Mais où les clés U2F sont-elles prises en charge? Lire la suite (U2F). Ils sont le moyen le plus sûr de générer des codes et d'accéder à vos services.

Largement considérée comme une version de deuxième génération de 2FA, elle simplifie et renforce à la fois le protocole actuel. De plus, l'utilisation des clés U2F est presque aussi pratique que l'ouverture d'un message SMS ou d'une application tierce.

Les clés U2F utilisent une connexion NFC ou USB. Lorsque vous connectez votre appareil à un compte pour la première fois, il génère un nombre aléatoire appelé «Nonce». Le Nonce est haché avec le nom de domaine du site pour créer un code unique.

Par la suite, vous pouvez déployer votre clé U2F en la connectant à votre appareil et en attendant que le service la reconnaisse.

Alors, quel est l’inconvénient? Eh bien, même si U2F est une norme ouverte, l'achat d'une clé U2F physique coûte toujours de l'argent. Et peut-être plus inquiétant, vous courez un risque de vol.

Une clé U2F volée ne rend pas automatiquement votre compte non sécurisé; un pirate aurait encore besoin de connaître votre mot de passe. Mais dans un espace public, un voleur pourrait déjà vous avoir vu entrer votre mot de passe à distance, avant de voler vos biens.

Les clés U2F peuvent être chères

Les prix varient considérablement selon les fabricants, mais vous pouvez vous attendre à payer entre environ 15 $ et 50 $.

Idéalement, vous souhaitez acheter un modèle «certifié FIDO». L'Alliance FIDO (Fast IDentity Online) est chargée d'assurer l'interopérabilité entre les technologies d'authentification. Les membres incluent tout le monde, de Google et Microsoft à Bank of America et MasterCard.

En achetant un appareil FIDO, vous pouvez être sûr que votre clé U2F fonctionnera avec tous les services que vous utilisez quotidiennement. Consultez la clé DIGIPASS SecureClick U2F si vous souhaitez en acheter une.

Insécurité 2FA est toujours mieux que pas de 2FA

Pour résumer, les clés Universal 2nd Factor offrent un juste milieu entre facilité d'utilisation et sécurité. Le SMS est l'approche la moins sécurisée, mais aussi la plus pratique.

Et rappelez-vous, tout 2FA est meilleur que pas de 2FA. Oui, cela peut vous prendre 10 secondes supplémentaires pour vous connecter à certaines applications, mais c'est mieux que de sacrifier votre sécurité.