Bien choisir son authentification à double facteurs

Les bases à savoir

L'authentification forte est une procédure d’identification qui requiert la concaténation d’au moins deux facteurs d’authentification. (Wikipedia)

Très souvent, la première authentification sera un mot de passe.
Le 2e facteur correspond plutôt à un code valable durant une courte période de temps (5 minutes maximum).

La double authentification (Two-factor authentication en anglais, 2FA) ou vérification en deux étapes est une méthode par laquelle un utilisateur peut accéder à une ressource informatique [...] après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification. (Wikipedia)
On privilégie la combinaison de quelque chose que l'on sait avec quelque chose que l'on possède.

Conseils pour avoir une double authentification efficace

Je fais simple. À vous de creuser si besoin.

• Éviter de recevoir le code par e-mail ou SMS.
• Activer la 2FA autant que possible. Les sites avec données sensibles/personnelles sont à prioriser.
• Il existe des applications pour générer un code 2FA. Privilégiez FreeOTP, Google Authentificator, Lastpass Authentificator.
Note : modifiez votre téléphone pour sécuriser l'accès à l'application. Je ne recommande pas Authy car elle demande notre numéro de téléphone pour pouvoir fonctionner.
• Ne pas utiliser les services Cloud pour stocker ces codes.
• Faire attention à enregistrer en lieu sûr les codes de secours (recovery tokens) délivrés lors de l'activation du service "double authentification". Si vous n'avez plus accès à votre application pour générer un code, ces tokens seront votre roue de secours !
• Il existe des systèmes physiques pour la double authentification (à la place de l'application). Exemple : YubiKey.

Conseils pour avoir une authentification forte efficace

Vu que le premier facteur d'authentification correspond très souvent à un mot de passe. Voilà comment en choisir des bons :

• ne JAMAIS utiliser le même mot de passe sur 2 sites différents
• ne pas utiliser des mots du dictionnaire
• ne pas utiliser les noms, prénoms, âges, dates de naissance, adresses postales... de vous ou de votre entourage.
• le mot de passe doit au minimum faire 16 caractères
• les phrases de passe sont très efficaces si bien construites
• un gestionnaire de mot de passe peut vous simplifier la vie mais ne choisissez pas le premier venu ! (KeyPassXC, bitwarden, Lastpass, Dashlane...)
• les comptes e-mail, les réseaux sociaux (si vraie identité) et les comptes bancaires et autres moyens de paiement comme Paypal sont les plus importants à sécuriser.

Balancez vos questions et remarques !

Réservé

Salut Primokorn,

Ton Post est certainement très riche, mais je m'y perds un peu. Peut-être n'ai-je pas été assez attentif, et pourtant je l'ai relu plusieurs fois :-)

"Éviter de recevoir le code par e-mail ou SMS." : à quoi fais-tu référence ?

Salut cesa,

Au second facteur d'authentification, au code que l'on reçoit après renseigné son mot de passe.
Ce code est envoyé par le site depuis lequel on souhaite se connecter.

Hi
C'est un peu le cas pour les doubles authentifications lorsque tu commandes sur un site, que tu paies par PayPal ou carte bancaire et que tu reçois un code par SMS pour la seconde authentification...en général, un code valable 5 minutes...
Le mieux c'est une carte de clés personnelles.

Ça me fait penser à la fameuse protection 3D Secure. Pour info, cette protection passe par des serveurs US donc chaque paiement fait via cette méthode est répertoriée par les américains...

Si tu paies par paypal avec authentification secondaire par sms...même si on intercepte ce sms, la personne ne pourra rien en faire car ce code n'est valide que pour la commande en cours...je me trompe ?

J'ai la double authentification par SMS avec Paypal (mieux que rien) et le SMS est demandé à la connexion du compte, ce n'est pas lié à une transaction à ma connaissance.
Même si tu vas sur le compte pour consulter le solde, il te faudra le code par SMS.

Avec la double authentification le premier code sms...NON puisqu'il te permet de t'authentifier par Paypal mais pour le deuxième, c'est bien le code qui te permet de valider la transaction entre le site marchand et Paypal ?

Je ne sais pas... Je n'ai pas activé/trouvé d'option pour recevoir un 2e SMS. En même temps, il ne sert à rien à partir du moment où tu as le 1er.

Voila ce que j'ai pu lire à ce sujet et je cite: “Les banques aussi utilisent le SMS avec un code de confirmation pour la verification des achats sur les sites internet, vous recevez un SMS avec un code aléatoire à remplir sur le site web pour la validation de l’achat.”

C'est 3D Secure justement, ce n'est pas lié à Paypal.

Tu penses que la double authentification par confirmation sms lié à paypal (que j'utilise) est mieux que 3D sécure développé par Visa et MasterCard (que je n'utilise pas même si elle empêche d’être rediriger vers des sites tel que FIA-NET ) ?

Sans connaître les détails, je dirais que c'est du pareil au même non ? C'est hébergé aux USA et c'est un piètre choix au niveau de la sécurité.
Paypal a le mérite de toujours demander un SMS alors qu'on peut parfois renseigner notre date de naissance avec 3D Secure.

De toutes façons...mon choix est deja fait.