BD – L’Authentification

Hello !

Nous avons déjà abordé quelques sujets liés à la sécurité, mais nous n’avons pas encore évoqué un sujet essentiel, et qui nous concerne tous : l’authentification. Nous nous en servons tous les jours, pour nous connecter à notre ordinateur, notre boîte mail, ou à diverses applications du quotidien comme notre compte Netflix par exemple.

Cependant, bien que nous nous connections quotidiennement à divers sites web, beaucoup de personnes ne réalisent pas l’importance de sécuriser correctement leurs accès et leurs mots de passe.

Quels sont les enjeux et les bonnes pratiques en ce qui concerne l’authentification ?

 

Pour aller plus loin :

6 commentaires sur “BD – L’Authentification”

  • Merci ! Authentification "corporelle" plutôt que "biométrique" ? Sont-ce 2 synonymes ou existe-t-il des différences de périmètre entre les 2 ?
  • Bonjour, Je ne m'étais effectivement pas posé la question. A priori de ce que je lis, on parle plus de "facteur corporel" d'authentification, et "d'authentification biométrique". Si j'ai correctement compris, la biométrie (dans notre contexte) est l'identification des individus grâce à leurs caractéristiques physiques, biologiques ou comportementales. Donc l’authentification corporelle ferait partie de la biométrie, auquel cas il aurait effectivement fallu parler d'authentification biométrique plutôt que "corporelle".
  • C'est bien de sensibiliser au 2FA, hélas le grand publique s'il décide de s'y mettre le fait souvent à la vite : en témoigne le nombre d'avis négatif sur le Google Playstore et l'application la plus utilisée : Google Authenticator. Plein de personnes se plaignent de téléphone soudainement en panne et du coup impossibilité d'accéder à leur compte car leur authenticator a emporté dans sa tombe les clé des différents OTP.

    Problèmes :
      - je suppose que beaucoup de personnes vont trop vite et ne veulent pas "s'embarasser" de détails tels que stocker au chaud les codes de secours permettant de bypasser l'OTP (un peu comme à l'époque ou le site des impôts à cru pouvoir rendre grand publique la sauvegarde d'un certificat utilisateur pour s'authentifier et où la plupart des personnes le perdait d'une année sur l'autre ^^).
      - vérifier les process de secours (fallback sms, email, code de secours, process de support manuel de preuve d'identité réelle, coucou OVH) pour anticiper les pertes du matériel 2FA
      - c'est certes contraire au principe de la strong authentication : "matérielle, une chose que l'utilisateur possède", parfois il est évoqué que ce moyen matériel doit être unique mais il est plus sécurisant de pouvoir avec des exports des clés OTP / plusieurs appareils les ayant enregistrés pour se sauver de certaines mauvaises situations (et du coup chercher des solutions plus évoluées que les appli de bases types Google Authenticator (Android : Aegis, Authenticator+, hélas plus maintenu pour ce dernier ; Windows : Winauth, hélas plus maintenu non plus, à croire que les applis 2FA n'ont pas la cote :( ).
    J'ai personnellement été dans ce cas (mort subite d'un smartphone, unique dépositaire des codes OTP), les codes de secours, process alternatifs types email, sms, navigateurs enregistrés en tant qu'appareils de confiance m'ont sauvé heureusement mais je me suis débarrassé de Google Authenticator suite à cet incident.
  • Depuis quel outil privilégiez-vous ?
  • Faute de mieux je reste sur WinAuth sous Windows et je viens de migrer sur Android de Authenticator+ vers Authenticator Pro (Open source et hébergé sur github), qui a pu correctement importer depuis Authenticator+, je laisse tomber Aegis qui ne me convient pas. Dommage en revanche qu'Authenticator Pro ne sache pas faire de sauvegarde planifiée sur un service cloud (en manuel il en est capable, en programmé en revanche, seulement sur la mémoire interne, peut être que des programmes permettent de faire le lien de façon automatisée). Pas au programme en tout cas : https://github.com/jamie-mh/AuthenticatorPro/wiki#can-you-add-sync-to-google-drive-onedrive-etc Il doit y avoir moyen de tout gérer avec Authy qui est cross plateforme mobile / desktop mais je n'avais pas accroché dans mes dernières tentatives (UI, ...)
    1. Laisser un commentaire

      Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


      Ce formulaire est protégé par Google Recaptcha