L’authentification à deux facteurs (2FA) est un excellent moyen de renforcer la sécurité de vos comptes. Mais même avec cette couche de sécurité supplémentaire, les acteurs malveillants trouvent des moyens de pénétrer. Votre authentification à deux facteurs et multi-facteurs (MFA) peut être faible, mais, heureusement, il y a quelque chose que vous pouvez faire à ce sujet.
Comment fonctionne l’authentification multi-facteurs
MFA utilise deux points de contrôle ou plus pour confirmer l’identité d’un utilisateur pour accéder à un compte ou un système. Ceci est plus sécurisé que de compter sur une seule combinaison de nom d’utilisateur et de mot de passe, en particulier étant donné la facilité avec laquelle de nombreux mots de passe sont à casser, et combien ont trouvé leur chemin sur le Web Dark. Les mots de passe sont souvent basiques et répétés, donc une fois qu’un mot de passe a été compromis, il peut être utilisé pour accéder à de nombreux comptes. C’est pourquoi il est si important d’utiliser des mots de passe solides et uniques pour chacun de vos comptes.
Avec MFA, un mot de passe ne suffit pas. De là, l’utilisateur doit valider sa connexion en utilisant au moins un élément de preuve supplémentaire, idéalement auquel il a seulement accès. Il peut s’agir d’un facteur de connaissance (une broche), d’un facteur de possession (un code d’une application d’authentificateur) ou d’un facteur d’identité (une empreinte digitale).
Notez que même si 2FA et MFA sont souvent utilisés de manière interchangeable, ils ne sont pas nécessairement la même chose. 2FA utilise deux facteurs pour vérifier la connexion d’un utilisateur, comme un mot de passe ainsi qu’une question de sécurité ou un code SMS. Avec 2FA, les deux facteurs peuvent savoir quelque chose que l’utilisateur sait, comme leur mot de passe et une broche.
MFA a besoin d’au moins deux facteurs, et ils doit Soyez indépendant: une combinaison d’un facteur de connaissance comme un mot de passe, plus un identifiant biométrique ou un authentificateur sécurisé comme une clé de sécurité ou un mot de passe ponctuel. Généralement, plus les facteurs d’authentification sont nécessaires, plus la sécurité du compte est grande. Mais si tous les facteurs peuvent être trouvés sur le même appareil, la sécurité est à risque si cet appareil est piraté, perdu ou volé.
Le MFA peut toujours être compromis
Bien que le MFA soit activé sur vos comptes puisse vous faire sentir en sécurité, certaines méthodes MFA peuvent être compromises presque aussi facilement que vos noms d’utilisateur et vos mots de passe.
Comme le rapporte ARS Technica, certains facteurs de connaissance et de possession sont eux-mêmes susceptibles de phishing. Attaques connues sous le nom de codes d’authentification cible adversaire dans le milieu, tels que ceux envoyés via SMS et e-mail, ainsi que des mots de passe ponctuels basés sur le temps à partir d’applications authentificatrices, permettant aux pirates d’accéder à vos comptes via des facteurs que vous les avez remis sans le savoir.
Que pensez-vous jusqu’à présent?
L’attaque fonctionne comme suit: Les mauvais acteurs vous envoient un message disant que l’un de vos comptes – Google, par exemple – a été compromis, avec un lien pour se connecter et le verrouiller. Le lien semble réel, tout comme la page sur laquelle vous atterrissez, mais c’est en fait un lien de phishing connecté à un serveur proxy. Le serveur transfère les informations d’identification que vous entrez sur le vrai site Google, qui déclenche une demande MFA légitime (et si vous avez configuré MFA sur votre compte, il n’y a aucune raison de croire que c’est suspect). Mais lorsque vous entrez le code d’authentification sur le site de phishing ou approuvez la notification push, vous avez par inadvertance l’accès au pirate à votre compte.
L’adversaire dans le milieu est encore plus facile à réaliser grâce aux kits d’outils phishing en tant que service disponibles dans les forums en ligne.
Comment maximiser la sécurité MFA
Pour tirer le meilleur parti du MFA, envisagez de passer des facteurs comme les codes SMS et les notifications push à une méthode d’authentification plus résistante au phishing. La meilleure option est MFA basée sur des informations d’identification WebAuthn (biométrie ou PassKeys) qui sont stockées sur le matériel de votre appareil ou une clé de sécurité physique comme Yubikey. L’authentification ne fonctionne que sur l’URL réelle et sur ou à proximité de l’appareil, de sorte que les attaques adverses dans le milieu sont presque impossibles.
En plus de changer votre méthode MFA, vous devez également vous méfier des drapeaux rouges de phishing habituels. Comme de nombreux schémas de phishing, le MFA attaque la proie des émotions ou de l’anxiété de l’utilisateur à propos de leur compte compromis et du sentiment d’urgence pour résoudre le problème. Ne cliquez jamais sur des liens dans les messages des expéditeurs inconnus et ne réagissez pas aux problèmes de sécurité supposés sans vérifier d’abord leur légitimité.
