Follow Us
Facebooktwitteryoutube
Promo
banner
YouTube
Promo
banner

Pourquoi vous devez cesser d’utiliser Google Authenticator dès maintenant

Beaucoup d’entre nous ont appris à leurs dépens qu’il ne suffit pas d’avoir un seul mot de passe pour protéger nos comptes en ligne. Nous utilisons maintenant une forme ou une autre d’authentification à deux facteurs. Vous avez peut-être même décidé d’utiliser Google Authenticator pour fournir cette deuxième couche de protection. Si c’est le cas, vous devez connaître les risques que vous prenez en agissant ainsi. Heureusement, il existe de meilleures méthodes qui sont à la fois plus sûres et plus faciles à utiliser.

Couches de base de la sécurité en ligne

Les cybercriminels sont de plus en plus sophistiqués et nous devons tous prendre au sérieux notre sécurité en ligne pour protéger notre identité en ligne en constante expansion. Avant de discuter de l’authentification à deux facteurs et des raisons pour lesquelles vous devriez éviter d’utiliser Google Authenticator, examinons quelques autres éléments que nous devrions avoir en place pour protéger à un niveau plus superficiel..

Hacker travaillant à l'aide d'un ordinateur avec des codes

Mots de passe forts

Heureusement, le Générateur de mot de passe LastPass simplifie la création et la maintenance de mots de passe forts. Cet outil générateur de mots de passe crée des mots de passe complexes, presque impossibles à déchiffrer, composés de plusieurs chiffres, lettres et symboles. Dernier passage génère des mots de passe différents pour chaque application ou site Web, et il s’exécute localement sur votre ordinateur Windows, Mac ou Linus ou votre appareil iOS ou Android. Les mots de passe créés par l’outil ne sont pas envoyés sur le Web.

Capture d'écran d'une section de page lastpass.com LastPass.com – Comment ça fonctionne

Logiciel de protection antivirus et contre les logiciels malveillants

Il existe plusieurs solutions de cybersécurité largement appréciées, notamment Malwarebytes et Bitdefender. Ces programmes ont des versions gratuites, mais renforcent votre sécurité en faisant un investissement mineur dans les versions payantes.

Capture d'écran de bitdefender.com Bitdefender.com – Page d’accueil

Revenons maintenant à Google Authenticator et à l’authentification à deux facteurs.

Authentification à deux facteurs

L’authentification à deux facteurs – également connue sous le nom de 2FA – est comme un deuxième mot de passe sur vos comptes en ligne.

Sans 2FA, vous entrez simplement votre nom d’utilisateur et votre mot de passe, et le site Web ou l’application vous autorise à entrer. Le mot de passe est votre seul facteur d’authentification.

Appuyez sur le bouton Entrée de l'ordinateur

2FA ajoute une étape supplémentaire à votre processus de connexion. Cela vous oblige à disposer de deux types d’informations d’identification sur trois avant de vous permettre d’accéder à votre compte. Ces types d’informations d’identification sont:

  • quelque chose que vous avez, comme une carte de guichet automatique, un téléphone ou un porte-clés
  • quelque chose que vous connaissez, comme un modèle ou un numéro d’identification personnel (NIP)
  • quelque chose que vous êtes, comme une biométrique comme une empreinte digitale

Composition isométrique des méthodes d'authentification biométrique

Il existe deux types principaux de 2FA. Le type le plus courant, le mot de passe à usage unique basé sur le temps (TOTP), est incarné par Google Authenticator, le grand-père de toutes les applications 2FA. L’autre type, qui sera discuté plus loin dans l’article, est Universal Second Factor (U2F).

Et… il existe deux types de mots de passe à usage unique:

  1. Mots de passe à usage unique SMS
  2. Mots de passe à usage unique générés par l’application

Certes, les applications de mot de passe à usage unique basées sur le temps telles que Google Authenticator sont beaucoup plus sécurisées. Avec des applications comme celles-ci, votre application téléphonique générera un code à usage unique. Vous utiliserez ensuite ce code pour terminer la connexion.

Google Authenticator vérifie que vous êtes bien qui vous dites être en fonction d’un secret que vous et le fournisseur partagez en ligne. Lorsque vous vous connectez à un site Web, votre appareil génère un code basé sur l’heure actuelle et le secret partagé. Pour terminer la connexion de votre site Web, vous devez entrer ce code manuellement sur le site avant qu’il n’expire..

Capture d'écran de play.google.com Play.Google.com – – Magasin d’applications

Alors, comment le serveur sait-il comment vous laisser entrer? Il génère le même code que vous avez afin de pouvoir vérifier votre code. Étant donné que vous et le site sur lequel vous essayez de vous connecter pour posséder le secret et faire la demande en même temps (c’est-à-dire que vous utilisez les mêmes facteurs d’entrée), vous générerez tous les deux le même hachage.

Problèmes avec Google Authenticator

Tout d’abord, vous devez saisir manuellement le code lors de la connexion, en ajoutant une autre étape au processus de connexion. Vous devrez également prendre des mesures supplémentaires pour sauvegarder le secret. Mais les services proposent souvent des codes de réserve au lieu de vous obliger à enregistrer le secret. Si vous vous connectez avec l’un de ces codes, vous devrez recommencer tout le processus d’inscription.

Ces codes de sauvegarde sont envoyés en ligne, ce qui est une faiblesse de sécurité fondamentale. Si les pirates ont accès aux mots de passe d’une entreprise et à la base de données de secrets, ils peuvent accéder à tous les comptes. Malheureusement, les histoires sur les sites Web et même les échanges de crypto-monnaie réputés qui ont été piratés ne manquent pas.

Hacker man holding écrans d'interface utilisateur avec icône, statistiques et données

Un autre domaine non sécurisé est le secret lui-même, qui apparaît sous forme de texte brut ou de code QR, et non sous forme de hachage ou avec un sel cryptographique. Par conséquent, les serveurs de l’entreprise stockent probablement le secret sous forme de texte brut. Étant donné que le fournisseur doit vous donner un secret généré lors de l’inscription, le secret peut être exposé à ce moment-là.

Alternatives Google Authenticator: Yubikey et Trezor Model T

Le deuxième type d’authentification à deux facteurs: Universal Second Factor (U2F)

Le deuxième facteur universel est une norme universelle pour la création de jetons d’authentification physiques qui peuvent fonctionner avec n’importe quel service. U2F a été créé par des géants de la technologie, dont Google et Microsoft, pour remédier aux vulnérabilités de TOPT. Il est quelque peu ironique que Google n’ait pas retiré son ancienne application, Google Authenticator, après avoir aidé à créer U2F.

Capture d'écran de yubico.com Yubico.com – Page d’accueil

Si vous en avez entendu parler Yubikey: Une clé USB physique qui vous permet de vous connecter à Dernier passage, l’outil générateur de mots de passe présenté au début de l’article, ainsi que certains autres services, vous comprendrez le concept d’U2F. Cependant, contrairement à la norme Yubikey appareils, U2F est une norme universelle.

Avec U2F, le serveur envoie un défi et votre clé privée (le secret) le signe. Le serveur peut vérifier le message en utilisant la clé publique dans sa base de données.

Tous les Yubikeys comparés

YubiKey 5ci

YubiKey 5Ci

  • Idéal pour les utilisateurs Mac
  • Connecteur USB-C et Lightning
  • Imperméable et résistant à l’écrasement

ACHETER MAINTENANT YubiKey 5c

YubiKey 5C

  • Idéal pour les utilisateurs Mac
  • Connecteur USB-C
  • Vous pouvez économiser 20 $ si vous n’avez pas besoin du connecteur Lightning

ACHETER MAINTENANT Clé de sécurité NFC

Clé de sécurité NFC

  • Idéal pour les utilisateurs non LastPass
  • Version économique du 5 NFC
  • Idéal pour les utilisateurs qui ne peuvent pas dépenser beaucoup

ACHETER MAINTENANT série yubikey fips

Série YubiKey FIPS

  • Idéal pour les travailleurs fédéraux et les entrepreneurs
  • Atteignez le niveau d’assurance d’authentification le plus élevé grâce aux dernières directives FIPS
  • Est disponible dans toutes les versions que la YubiKey est

ACHETER MAINTENANT LIRE LA REVUE

Avantages de l’U2F

Il y a de nombreux avantages à utiliser U2F. Voici quelques-uns:

  • Vie privée: Avec U2F, votre clé privée ne sera jamais envoyée dans le cyberespace, vous permettant de profiter de l’un des statuts les plus convoités sur le Web: la confidentialité réelle. Grâce à la cryptographie à clé publique, vous n’aurez plus à vous soucier du partage de vos informations confidentielles.

Concept de sécurité avec des icônes sur des blocs de bois sur table turquoise télévision lay

  • Une sécurité à toute épreuve: 2FA utilisant la cryptographie à clé publique protège contre le piratage de session, Hameçonnage, et divers types de logiciels malveillants. Étant donné qu’U2F ne repose pas sur un secret partagé stocké dans la base de données d’un fournisseur, un attaquant ne peut pas voler une base de données entière pour accéder au compte d’un utilisateur. Au lieu de cela, il devra passer par la voie longue et coûteuse consistant à cibler un utilisateur individuel et à voler son matériel en personne..

Le technicien réparant l'ordinateur

  • Facile à utiliser: Les appareils U2F fonctionnent dès la sortie de la boîte grâce à une prise en charge via des navigateurs et des plates-formes universellement disponibles; il n’y a pas de codes à taper ni de pilotes à installer.

Décrire la main avec le geste du doigt claquant

  • Rentable: Les clients peuvent choisir parmi une variété d’appareils à différents prix, qui sont tous étonnamment abordables, compte tenu de leur technologie de pointe.

Blocs en bois avec mot de prix et flèche vers le bas jaune

Inconvénients de l’U2F

Le principal avantage de l’U2F est également son inconvénient majeur. Avec U2F, vous pouvez souvent sauvegarder votre secret, autrement appelé votre clé privée. Cela signifie que vous êtes responsable de votre propre sécurité. Si vous perdez la clé privée, personne ne pourra la récupérer à votre place. Cependant, vous n’avez pas non plus besoin de faire confiance à une entreprise pour protéger votre clé privée.

Trezor et Yubikey – U2F bien fait

Heureusement, il existe un moyen de profiter du gain de U2F sans la douleur en utilisant Trezor. Trezor a été initialement créé pour stocker des clés privées et servir d’environnement informatique isolé. Bien qu’il fonctionne toujours admirablement dans son rôle d’origine en tant que matériel Bitcoin sécurisé porte monnaie, Trezor peut désormais être utilisé de plusieurs façons grâce à une cryptographie à clé privée / publique (asymétrique) largement applicable.

Capture d'écran de trezor.io Trezor.io – Authentification sécurisée à deux facteurs avec Trezor

La principale de ces utilisations étendues est la fonction de Trezor en tant que jeton de sécurité matériel pour U2F. Contrairement aux autres produits U2F, cependant, Trezor offre des fonctions de sauvegarde et de récupération ainsi que des fonctionnalités pratiques..

Comment U2F fonctionne avec Trezor

Lorsque vous vous connectez à un site Web, vous lancez généralement le processus d’authentification avec votre nom d’utilisateur et votre mot de passe. Vous suivrez cette procédure avec Trezor et U2F, mais après cela, vous passerez une autre étape simple et sans douleur: vous confirmerez votre connexion en cliquant sur votre appareil Trezor.

Lorsque vous configurez initialement votre appareil Trezor, vous sauvegardez votre graine de récupération. Cette graine représente tous les secrets / clés privées générés par Trezor et peut être utilisée pour restaurer votre portefeuille matériel à tout moment. La sauvegarde de la graine de récupération est un processus unique et enregistre un nombre illimité d’identités U2F.

Capture d'écran de trezor.io Trezor.io – Fonctionnalités

Votre graine est stockée en toute sécurité dans le Trezor. Puisqu’elle ne quitte jamais l’appareil, votre clé privée est immunisée contre les virus et les pirates.

Trezor offre également une protection contre le phishing avec vérification à l’écran. À mesure que les cybercriminels deviennent de plus en plus sophistiqués, les sites Web de phishing qu’ils mettent en place ressemblent étroitement aux sites originaux. En affichant toujours l’URL du site Web auquel vous vous connectez et en vous indiquant exactement ce que vous êtes sur le point d’autoriser, Trezor vous protège des tentatives de phishing. Vous pouvez vérifier que ce qui a été envoyé dans l’appareil correspond à ce que vous attendiez.

Capture d'écran de trezor.io Trezor Model T – Spécifications techniques

Vous pouvez commander votre Trezor One ici ou Trezor Model T ici.

À propos de Trezor

Créée par SatoshiLabs en 2014, la solution adaptée aux débutants Trezor One est l’étalon-or des portefeuilles matériels. Il offre une sécurité inégalée pour la gestion des crypto-monnaies et des mots de passe et sert de deuxième facteur dans l’authentification à deux facteurs. Ces fonctionnalités se combinent avec une interface conviviale dans laquelle même les novices peuvent naviguer facilement. La saisie de la phrase secrète et la récupération de l’appareil sont disponibles en toute sécurité via un ordinateur ou un modem.

Capture d'écran de trezor.io Trezor.io – Page d’accueil>

La prime Trezor modèle T est le portefeuille matériel de nouvelle génération. Comme le Trezor One, le Model T convient aussi bien aux novices qu’aux investisseurs avertis. Il conserve les avantages du Trezor One mais offre une interface plus élégante et plus intuitive pour une expérience utilisateur et une sécurité améliorées. Il dispose d’un écran tactile, d’un processeur plus rapide et d’une prise en charge avancée des pièces. La saisie de la phrase secrète et la récupération de l’appareil sont disponibles directement sur votre Trezor Model T.

COMPARAISON

Blockstream Jade

Blockstream Jade

  • ÉCRAN:
  • PUBLIÉ: 2021
  • LE PRIX: 40 $

ACHETER MAINTENANT LIRE LA REVUE Trezor modèle T

Trezor modèle T

  • ÉCRAN:
  • PUBLIÉ: 2018
  • LE PRIX: 159 $
  • ÉCRAN TACTILE:

ACHETER MAINTENANT LIRE LA REVUE Trezor One

Trezor One

  • ÉCRAN:
  • PUBLIÉ: 2013
  • LE PRIX: 59 $

ACHETER MAINTENANT LIRE LA REVUE

Conclusion

Pour les investisseurs en crypto-monnaie, la sécurité est une préoccupation primordiale. Il ne sert à rien d’investir du temps et de l’argent dans l’apprentissage de la cryptographie et la croissance de votre portefeuille de crypto à moins que vous ne sécurisiez ces actifs. Les récompenses de la crypto-monnaie sont excellentes, mais les risques le sont aussi.

Si vous ne l’avez pas déjà fait, corrigez les fuites de sécurité telles que les mots de passe faibles et les ordinateurs et téléphones portables non protégés. Après avoir résolu ces problèmes, vous pouvez envisager d’utiliser l’authentification à deux facteurs (2FA). Bien qu’il soit tentant d’utiliser des méthodes gratuites et largement disponibles telles que Google Authenticator pour sécuriser vos actifs de crypto-monnaie, Authenticator a ses vulnérabilités et ses inconvénients.

Le deuxième type de 2FA, Universal Second Factor (U2F), est plus sécurisé que Google Authenticator. Un jeton de sécurité matériel sécurisé pour Universal Second Factor, Trezor, offre bien plus de fonctionnalités et de sécurité qu’Authenticator. Dans le monde de la cryptographie, tout est question de sécurité. N’oubliez pas: vous êtes votre propre banque!

Puisque vous, en tant qu’investisseur crypto, assumez plus de responsabilités en matière de sécurité qu’un investisseur traditionnel, investissez dans la meilleure solution de sécurité. Sécurisez pour vous-même un Trezor One ou un Trezor Model T dès aujourd’hui.

FAQ

A quoi sert une YubiKey?

Un Yubikey est utilisé pour authentifier les connexions Web. Il peut être branché sur un ordinateur ou un téléphone.

À quoi sert LastPass?

LastPass est un gestionnaire de mots de passe qui stocke tous vos mots de passe en un seul endroit. C’est ce qu’on appelle un coffre-fort par lequel LastPass se souvient de votre mot de passe pour vous.

Pourquoi les SMS à deux facteurs sont-ils dangereux??

Les SMS à deux facteurs sont dangereux car il est facile pour les pirates de détourner vos messages texte via «échange de carte SIM».

Que faire si mon gestionnaire de mots de passe est piraté?

Si les pirates obtiennent toutes les données dont dispose le gestionnaire de mots de passe, ils devront tout de même essayer tous les mots de passe possibles pour vos données pour voir si cela fonctionne, car les pirates ne voient qu’un tas de mots de passe brouillés.

Le Trezor Model T est-il sûr??

Si un attaquant très motivé et hautement qualifié s’appropriait physiquement votre Trezor Model T, vos pièces pourraient ne pas être en sécurité. Cependant, cette attaque n’a jamais été réalisée en dehors d’un laboratoire, la menace est donc lointaine. Dans presque tous les cas, un Trezor Model T gardera vos pièces en toute sécurité.

Quel est le meilleur – Trezor ou Ledger?

registre est plus sécurisé si votre portefeuille est retrouvé, cependant le Trezor n’a pas de bluetooth, ce qui réduit le risque d’attaque à distance sur votre appareil. Le Trezor a également plus de fonctionnalités et un meilleur écran si vous le faites avec le modèle T.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me