
Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l'authentification à deux facteurs (2FA), qui obligeait l'utilisateur à se connecter à un site Web à l'aide d’un mot de passe et d’un appareil mobile. Elles fonctionnent sans avoir besoin de pilotes logiciels spéciaux. Et apparemment, elles semblent faire leurs preuves. « Nous n'avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en place des clés de sécurité chez Google », a déclaré un porte-parole de l’entreprise. « Les utilisateurs peuvent être invités à s'authentifier en utilisant leur clé de sécurité pour de nombreuses applications et pour diverses raisons. Tout dépend de la sensibilité de l'application et du risque de l'utilisateur à ce moment-là », a-t-il ajouté.
Le principe de l'authentification à deux facteurs est que même si les pirates parviennent à dérober votre mot de passe, ils ne puissent toujours pas se connecter à votre compte, sauf s'ils parviennent à pirater ou posséder le second facteur. Les formes les plus courantes d’authentification à deux facteurs exigent que l'utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application. Et avant 2017, même les employés de Google devaient se servir de codes uniques générés par Google Authenticator. La clé de sécurité, par contre, exécute une forme d’authentification appelée Universal 2nd Factor qui permet à l’utilisateur d’achever le processus de connexion rien qu’en insérant le périphérique USB et en appuyant sur un bouton de l’appareil.
L'Universal 2nd Factor est une norme émergente d'authentification open source, et à ce titre seule une poignée de sites de haut niveau le supportent (Dropbox, Facebook, Github, les services de Google). La plupart des principaux gestionnaires de mots de passe, notamment Dashlane, Keepass et LastPass, le prennent également en charge. Il est actuellement supporté par Chrome, Mozilla Firefox et Opera.
L'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un code ponctuel serait moins sûre que de se fier à une application telle que Google Authenticator ou Authy. En effet, les pirates pourraient intercepter ce code ponctuel en incitant le fournisseur de services mobiles à échanger la carte SIM de l'appareil mobile ou à transférer le numéro de mobile vers un autre appareil. Cependant, si les seules options d’authentification à deux facteurs offertes par un site sont des SMS et/ou des appels téléphoniques, c'est toujours mieux que d'utiliser uniquement un mot de passe.
Source : Billet de blog
Et vous ?


Voir aussi




