AccueilSécuritéBalise "Changez votre mot de passe" ? Mieux : "Activer 2FA" !

Balise « Changez votre mot de passe » ? Mieux : « Activer 2FA » !

Chaque année, le premier février, une partie du secteur informatique célèbre la journée « Changez votre mot de passe ». Cette journée est censée rappeler qu’un ancien mot de passe n’est pas sûr et qu’un changement régulier permet de mieux protéger l’accès. Or, cela n’est guère favorable à la sécurité des comptes, voire même nuisible.

En effet, le changement forcé et intempestif tend à favoriser les mots de passe faciles à retenir, complétés par des modèles continus faciles à deviner. Le mot de passe modifié de « Mot de passe2021#Q1 » en « Mot de passe2022#Q1 » ne fournit pas une meilleure sécurité, bien au contraire.

En outre, les fuites de données, au cours desquelles les mots de passe actuels s’échappent également dans le public, sont devenues monnaie courante. Les intrusions au cours desquelles les bases de données d’accès sont copiées sont devenues tellement courantes qu’elles ne donnent lieu à une annonce dans les médias que dans des cas particuliers.

Si l’on change de mot de passe une fois par an, les voleurs de données ont tout le temps de fouiller dans et avec les accès usurpés et, le cas échéant, de commettre des actes répréhensibles. On n’ose pas imaginer ce qui peut se passer lorsqu’un tel mot de passe est utilisé pour plusieurs services.

Sommaire

La rédaction de heise Security propose donc depuis longtemps d’activer partout où c’est possible l’authentification à deux facteurs (2FA). Avec un nom d’utilisateur et un mot de passe volés, les malfaiteurs se retrouvent alors devant une porte fermée – le deuxième facteur fait défaut. Il serait donc préférable de rebaptiser la journée commémorative d’aujourd’hui « Activation de la journée d’authentification à deux facteurs ». Les utilisateurs en ligne peuvent généralement activer très facilement la 2FA dans leur profil d’utilisateur auprès de leur fournisseur de messagerie ou sur les plateformes d’achat et de vente. Un petit clic qui apporte beaucoup plus de sécurité.

Pour le deuxième facteur, il est possible d’utiliser ce que l’on appelle un authentificateur. Par exemple, une application pour smartphone permet de créer un mot de passe à usage unique (Time-based One-time Password Algorithm, TOTP) valable très peu de temps pour la connexion. L’utilisateur prouve ainsi, en plus de son nom d’utilisateur et de son mot de passe, qu’il est bien le propriétaire de l’accès. Le surcroît de travail est minime et le gain de sécurité énorme.

En outre, la vérification du deuxième facteur n’a généralement lieu qu’une seule fois : Les utilisateurs authentifient leur navigateur ou l’application, la validation est enregistrée dans un cookie. Elle n’est demandée que lorsque le cookie est supprimé ou qu’un certain temps s’est écoulé depuis la dernière authentification.

Certains services proposent également le SMS comme deuxième facteur, mais cela n’est plus considéré comme sûr. Il existe toujours des attaques réussies au cours desquelles les pirates interceptent les SMS et obtiennent ainsi un accès non autorisé. Cette option ne devrait donc être utilisée qu’en cas d’urgence.

La vérification de ses propres données d’accès sur les sites Web de l’Identity-Leak-Checker de l’Institut Hasso Plattner ou du projet Have-I-Been-Pwned (HIBP) prouve souvent que la 2FA est une excellente idée. Après avoir indiqué une adresse e-mail (les deux services le proposent) ou un mot de passe (uniquement pris en charge par HIBP), un message de retour indique si les données ont fait l’objet d’une fuite de données.

Si c’est le cas, les malfaiteurs utilisent presque certainement les données pour des tentatives d’intrusion, par exemple comme partie de leur liste de mots de passe à essayer. De même, ils vérifient souvent les adresses électroniques issues de telles fuites de données et les utilisent pour le SPAM et l’hameçonnage. Les mots de passe à usage unique et éphémères n’apparaissent naturellement pas – et offrent ainsi une meilleure protection.

Lire aussi

Articles précédents sur la balise « changez votre mot de passe » :

Commentaire : Modifier votre tag de mot de passe ? N’importe quoi ! Un non-sens dangereux. par Marvin Strathmann sur heise online

Tag de changement de mot de passe : encore ? par Ronald Eikenberg sur heise online

Instructions :

Authentification à deux facteurs : sécurisation supplémentaire des logins avec Authenticator

Plus d'articles