Actualités du digital

Qu'est-ce que l'authentification multifacteur (MFA) et en quoi est-elle différente de 2FA? – CloudSavvy IT

Authentification à deux facteurs de la connexion sur un téléphone et un ordinateur
Shutterstock / Art Alex

L'authentification à deux facteurs, ou 2FA, existe depuis un certain temps. Cela fait généralement référence à l'utilisation d'un code SMS comme étape supplémentaire pour vous connecter à votre compte. Cependant, le terme a été remplacé par «Authentification multifacteur». Quelle est la différence?

L'authentification par mot de passe est nul

Avant que l'authentification à deux facteurs ne devienne une chose, le monde fonctionnait avec des mots de passe. Les mots de passe sont encore couramment utilisés aujourd'hui, car ils sont très utiles pour la plupart des gens – une courte phrase facile à mémoriser qui vous donne accès à vos services protégés.

Mais les mots de passe posent de nombreux problèmes de sécurité dans la pratique. Le principal problème est que vous confiez votre mot de passe à un grand nombre de tiers aléatoires, ce qui court le risque que le hachage de votre mot de passe soit volé lors d'une violation de données. Si vous avez un bon mot de passe long, vous devriez être en sécurité, mais de nombreuses personnes ont des mots de passe terribles. En plus de cela, de nombreuses personnes réutilisent le même mot de passe, ce qui signifie qu'une violation de données dans une entreprise pourrait affecter votre compte sur un service différent.

Même si tout le reste est ignoré, un mot de passe est une seule chaîne qui donne accès à votre compte. Toute personne en possession de cette chaîne peut agir et effectuer des actions comme vous. Un point de défaillance unique n'est jamais une bonne idée.

Une solution a donc été apportée, appelée «Authentification à deux facteurs». Tout le monde a un téléphone; à bien des égards, l'appareil dans votre poche vous identifie publiquement. L'idée est donc simple: vous recevrez un SMS avec un code court sur votre téléphone chaque fois que quelqu'un essaiera de se connecter. Sans le code, l'attaquant est verrouillé. Si un pirate a volé votre mot de passe et souhaitait se connecter à votre compte, il ne pourra pas le faire sans avoir accès à votre téléphone.

Les «deux facteurs» dans 2FA sont votre mot de passe et le code envoyé à votre téléphone. Sans accès à tous les deux facteurs (ni ni / ni), personne ne peut accéder à votre compte.

Mais l'authentification à deux facteurs a aussi des problèmes

Alors que 2FA est idéal pour verrouiller les comptes et a plutôt bien fonctionné, de nombreuses implémentations de celui-ci ont leur propre problème. Parce que 2FA s'appuie sur les SMS pour envoyer des codes, ce n'est pas vraiment un combo «mot de passe + téléphone» qui permet d'accéder à votre compte, c'est «mot de passe + téléphone nombre."

C'est un problème car c'est incroyablement il est facile de voler le numéro de téléphone de quelqu'un avec une attaque par échange de carte SIM. Cela fonctionne comme ceci: un attaquant déterminé veut accéder à votre compte, il effectue donc des recherches et trouve votre numéro de téléphone et, éventuellement, votre anniversaire. Avec ces deux choses, ils peuvent se rendre dans le magasin du fournisseur de services téléphoniques et acheter un nouveau téléphone. La plupart du temps, les employés de ces magasins ne sont pas conscients de ce risque de sécurité et par défaut, ils vous demandent simplement votre anniversaire. Tout ce que l'attaquant a à faire est de mentir, et il sort du magasin avec votre numéro de téléphone sur sa carte SIM. Ce n’est pas seulement théorique – cela m’est personnellement arrivé lorsque j’ai mis mon téléphone à niveau chez Verizon. Ils n’ont pas demandé mon anniversaire, aucune information identifiable, ni même mon ancien téléphone. Je leur ai donné mon numéro de téléphone à échanger, mais il aurait pu facilement être le vôtre.

Bien sûr, l'attaquant aura toujours besoin de votre mot de passe pour accéder à votre compte, mais de nombreux services utiliseront également votre téléphone comme appareil de récupération. Même sans votre mot de passe, un attaquant pourrait choisir de le réinitialiser, d'envoyer le code de récupération sur votre téléphone (qui est maintenant son téléphone) et de déverrouiller votre compte, le tout sans connaître l'un de vos deux facteurs.

«Multi-Factor Auth» résout tous ces problèmes

Le correctif pour cela est assez simple. Plutôt que d'utiliser des SMS pour envoyer des codes à votre appareil, vous allez plutôt télécharger une «application Authenticator» et la lier en toute sécurité à votre compte. Au lieu de recevoir un code, il vous suffit de saisir le code affiché dans l'application, qui changera toutes les 30 secondes environ. Sinon, c’est la même chose que 2FA; pas de téléphone, pas d'accès.

Sous le capot, cela utilise un code d'accès à usage unique basé sur le temps (TOTP), qui est très sécurisé. Vous et le service échangez des secrets lors de l'association de l'application à votre compte. Ce secret est utilisé comme graine pour un générateur de nombres aléatoires, qui génère des codes uniques toutes les 30 secondes. Comme vous et le serveur êtes liés, vous aurez des codes identiques et personne d’autre ne sera sur la même page sans connaître le secret que vous avez échangé. Cela seul résout le problème de l'échange de carte SIM, car le secret est lié au téléphone, pas au numéro de téléphone.

Les applications TOTP ne sont qu'un exemple d'un facteur MFA. Le terme est une généralisation, utilisé pour s'appliquer à tout type d'authentification en deux étapes ou plus. MFA est un terme plus récent et plus inclusif qui est généralement utilisé par les services qui prennent en charge les applications TOTP et d'autres facteurs d'authentification. Bien que l’expression «Authentification à deux facteurs» puisse toujours s’appliquer techniquement à la télécommande et au mot de passe, elle fait généralement toujours référence aux SMS.

Les facteurs MFA appartiennent généralement à l'une des trois catégories suivantes:

  • Quelque chose de l'utilisateur sait, tels que les mots de passe ou les codes PIN
  • Quelque chose de l'utilisateur a, comme un téléphone ou un porte-clés
  • Quelque chose de l'utilisateur est, comme la reconnaissance faciale ou d'empreintes digitales

Parmi ceux-ci, l'authentification par porte-clés (a) Est le plus courant, après les applications TOTP. Il s'agit de périphériques physiques (similaires aux lecteurs flash) que vous connectez à votre appareil lorsque vous vous connectez:

Porte-clés de sécurité Google Titan

Ils contiennent un certificat qui vérifie votre identité. Il s’agit essentiellement d’un certificat SSH sur une clé facile d’accès, à savoir très sécurisées, encore plus que votre clé SSH moyenne, car elles n'existent pas sur un appareil connecté à Internet. Théoriquement, il n'y a aucun moyen de briser l'authentification par porte-clés, à moins de voler physiquement le porte-clés, ce qui est hautement improbable, ou de retirer la porte elle-même, ce qui ne peut pas être empêché de toute façon.

Il convient de noter que l'authentification multifacteur n'est pas toujours entièrement sécurisée. La récupération de mot de passe peut parfois encore la contourner, selon le service. Pour Google en particulier, les comptes verrouillés avec des applications d'authentification peuvent toujours être réinitialisés de cette façon. Si vous utilisez un compte Google pour des services professionnels, ou si vous voulez vraiment que votre messagerie soit verrouillée, vous devez activer la "Protection avancée" de Google, qui nécessite un porte-clés et résout ce problème.

Related Posts