Qu'est-ce que l'authentification à deux facteurs ? | Explication de la vérification en 2 étapes

Qu'est-ce que l'authentification à deux facteurs ?

L'authentification à deux facteurs, abrégée en 2FA, est un processus d'authentification qui requiert deux facteurs d'authentification différents pour établir l'identité. En bref, il s'agit de demander à un utilisateur de prouver son identité de deux manières différentes avant de lui accorder un accès. Le 2FA est une forme d'authentification multifactorielle .

Qu'est-ce que l'authentification ?

L'authentification est un élément important du contrôle d'accès. C'est la pratique de sécurité permettant de confirmer qu'un individu est bien celui qu'il prétend être. Un voyageur montrant son passeport à un agent des douanes en est un exemple.

Dans le domaine de la cybersécurité, l'exemple d'authentification le plus courant est la connexion à un service sur le Web, comme la connexion à Gmail dans un navigateur Web ou la connexion à l'application Facebook. Lorsqu'un utilisateur fournit une combinaison nom d'utilisateur / mot de passe, le service peut confirmer ces détails et les utiliser pour l'authentifier.

Qu'est-ce qu'un facteur d'authentification ?

Les facteurs d'authentification représentent différentes classes de méthodes de vérification de l'identité. Voici des exemples de facteurs d'authentification couramment utilisés pour 2FA :

• Connaissances : il s'agit d'une information que seul l'utilisateur doit connaître, comme un mot de passe ou la réponse à une question de sécurité.
• Possession : ce facteur repose sur le fait que l'utilisateur conserve la possession physique d'un objet. Par exemple, une clé matérielle qui peut générer des codes d'accès ou un appareil mobile qui peut recevoir des codes.
• Données biométriques: Ce sont des traits biologiques uniques de l'utilisateur qui peuvent être utilisés dans l'authentification. Les exemples incluent les empreintes digitales, les scans rétiniens et l'identification faciale.
• Emplacement : des outils basés sur la localisation comme le GPS peuvent être utilisés pour restreindre l'authentification aux utilisateurs dans une zone géographique spécifique.

Il convient de noter que le fait d'exiger deux instances du même facteur d'authentification n'est pas considéré comme 2FA. Par exemple, exiger un mot de passe ainsi qu'une question de sécurité est toujours une authentification à facteur unique. Ces deux éléments relèvent du facteur connaissance.

Comment fonctionne l'authentification à deux facteurs ?

L'authentification à deux facteurs peut fonctionner de plusieurs façons. L'un des exemples les plus courants d'authentification à double facteur est la vérification du nom d'utilisateur et du mot de passe et la vérification par SMS.

Dans cet exemple, lorsque l'utilisateur crée un compte pour un service, il doit fournir un nom d'utilisateur unique, un mot de passe et son numéro de téléphone mobile. Lorsque l'utilisateur se connecte à ce service, il fournit son nom d'utilisateur et son mot de passe. Cela fournit le premier facteur d'authentification (connaissance ; l'utilisateur a prouvé qu'il connaissait ses identifiants de connexion uniques).

Ensuite, le service enverra à l'utilisateur un message texte automatisé contenant un code numérique. L'utilisateur sera ensuite invité à saisir ce code numérique. En supposant que le code est correct, l'utilisateur a fourni un deuxième facteur d'authentification (possession ; l'utilisateur est en possession de son appareil mobile). Les conditions pour le 2FA sont maintenant remplies et l'utilisateur peut être authentifié et avoir accès à son compte.

Pourquoi utiliser l'authentification à deux facteurs ?

La sécurité basée sur les mots de passe est devenue trop facile à exploiter par les attaquants. Avec la prévalence des escroqueries par phishing , ,, ,, et la réutilisation des mots de passe, il est devenu de plus en plus facile pour les attaquants de recueillir des informations de connexion volées. Ces identifiants volés peuvent être échangés ou vendus pour être utilisés dans des attaques par bourrage d'identifiants . C'est pourquoi le système 2FA devient de plus en plus courant.

Le renforcement de la vérification de l'identité a également gagné en importance avec la généralisation du travail à distance. Puisque la présence physique des employés au bureau ne peut pas être utilisée pour vérifier leur identité, des mesures comme le 2FA permettent de s'assurer que leurs comptes n'ont pas été compromis.

Les experts en sécurité recommandent généralement aux utilisateurs d'activer 2FA dans la mesure du possible, ainsi que de le demander aux services qui gèrent les données utilisateur sensibles, mais n'offrent pas actuellement 2FA. Bien que 2FA ne soit pas impossible à pirater, il est beaucoup plus difficile et coûteux à compromettre que l'authentification par mot de passe uniquement.

L'authentification à deux facteurs basée sur SMS est-elle sécurisée ?

La 2FA basée sur SMS (vérification par SMS) est beaucoup plus sécurisée que l'authentification à un facteur (mot de passe uniquement). Cela dit, le SMS est parmi les méthodes 2FA les moins sécurisées. Le protocole SMS n'est pas très sécurisé et les messages SMS peuvent être interceptés par des pirates.

Il existe d'autres moyens plus sécurisés d'appliquer la 2FA avec un appareil mobile : par exemple, transmettre le code de vérification via une application sécurisée utilisant un chiffrement fort. Google et de nombreux autres grands services Internet utilisent des mots de passe TOTP (Time-based One-Time Password). Avec TOTP, un client (souvent une application exécutée sur un smartphone) crée un code temporaire à usage unique en fonction de l'heure de la journée. Ces codes ont une durée de vie extrêmement courte, généralement inférieure à une minute. Ce délai très réduit complique considérablement la tâche pour tout pirate tentant d'intercepter et de déchiffrer le code avant son expiration.

Il existe également une nouvelle technologie 2FA appelée « Sound-Proof », qui utilise le bruit ambiant capté par les microphones intégrés aux appareils mobiles et aux ordinateurs portables. Sound-Proof fonctionne en comparant les échantillons de bruit ambiant pour s'assurer que les deux appareils sont dans la même pièce.

Y a-t-il des inconvénients à l'authentification à deux facteurs ?

Alors que la 2FA contribue à rendre Internet plus sûr, il existe quelques inconvénients à prendre en compte. Par exemple, la 2FA peut décourager les utilisateurs moins technophiles, pour qui il peut être difficile de télécharger et utiliser les applications de vérification des smartphones.

Exiger la 2FA pour un service peut également engendrer quelques défis économiques. Tous les utilisateurs ne disposent pas des smartphones modernes requis pour de nombreuses méthodes 2FA. De plus, les données mobiles sont très chères dans certaines parties du monde, donc même ceux qui ont un smartphone peuvent subir des conséquences financières pour le téléchargement d'une application de vérification 2FA.

2FA impose également des frais commerciaux à ceux qui gèrent le service. 2FA est beaucoup plus difficile à mettre en œuvre que l'authentification par mot de passe uniquement, et une entreprise fournissant 2FA devra soit engager des frais d'installation, soit payer un service tiers pour fournir l'authentification à un coût permanent. Les petites entreprises peuvent renoncer à la sécurité accrue de 2FA car elles ne peuvent tout simplement pas se permettre de la prendre en charge.