Hello !
Nous avons déjà abordé quelques sujets liés à la sécurité, mais nous n’avons pas encore évoqué un sujet essentiel, et qui nous concerne tous : l’authentification. Nous nous en servons tous les jours, pour nous connecter à notre ordinateur, notre boîte mail, ou à diverses applications du quotidien comme notre compte Netflix par exemple.
Cependant, bien que nous nous connections quotidiennement à divers sites web, beaucoup de personnes ne réalisent pas l’importance de sécuriser correctement leurs accès et leurs mots de passe.
Quels sont les enjeux et les bonnes pratiques en ce qui concerne l’authentification ?
Pour aller plus loin :
- L’authentification – https://fr.wikipedia.org/wiki/Authentification
- Authentification – https://www.lemagit.fr/definition/Authentification
- La double authentification : indispensable ? – https://www.youtube.com/watch?v=ezEftyrKNOQ
- Comment fonctionne la protection d’un compte avec une clé USB de sécurité (U2F) – https://www.numerama.com/tech/227649-comment-fonctionne-la-protection-dun-compte-avec-une-cle-usb-de-securite-u2f.html
- Le SSO : https://fr.wikipedia.org/wiki/Authentification_unique
- Le SSO : définition, traduction et acteurs – https://www.journaldunet.fr/web-tech/dictionnaire-du-webmastering/1203483-sso-single-sign-on-definition-traduction-et-acteurs/
- Comparatif des meilleurs générateurs de mots de passe (2020) – https://www.clubic.com/application-web/article-854952-1-gestionnaires-mots-meilleur-logiciel-gratuit-windows.html
- Un outil pour vérifier si vos mots de passes sont compromis : https://haveibeenpwned.com/
6 commentaires sur “BD – L’Authentification”
C'est bien de sensibiliser au 2FA, hélas le grand publique s'il décide de s'y mettre le fait souvent à la vite : en témoigne le nombre d'avis négatif sur le Google Playstore et l'application la plus utilisée : Google Authenticator. Plein de personnes se plaignent de téléphone soudainement en panne et du coup impossibilité d'accéder à leur compte car leur authenticator a emporté dans sa tombe les clé des différents OTP.
Problèmes :- je suppose que beaucoup de personnes vont trop vite et ne veulent pas "s'embarasser" de détails tels que stocker au chaud les codes de secours permettant de bypasser l'OTP (un peu comme à l'époque ou le site des impôts à cru pouvoir rendre grand publique la sauvegarde d'un certificat utilisateur pour s'authentifier et où la plupart des personnes le perdait d'une année sur l'autre ^^).
- vérifier les process de secours (fallback sms, email, code de secours, process de support manuel de preuve d'identité réelle, coucou OVH) pour anticiper les pertes du matériel 2FA
- c'est certes contraire au principe de la strong authentication : "matérielle, une chose que l'utilisateur possède", parfois il est évoqué que ce moyen matériel doit être unique mais il est plus sécurisant de pouvoir avec des exports des clés OTP / plusieurs appareils les ayant enregistrés pour se sauver de certaines mauvaises situations (et du coup chercher des solutions plus évoluées que les appli de bases types Google Authenticator (Android : Aegis, Authenticator+, hélas plus maintenu pour ce dernier ; Windows : Winauth, hélas plus maintenu non plus, à croire que les applis 2FA n'ont pas la cote :( ).
J'ai personnellement été dans ce cas (mort subite d'un smartphone, unique dépositaire des codes OTP), les codes de secours, process alternatifs types email, sms, navigateurs enregistrés en tant qu'appareils de confiance m'ont sauvé heureusement mais je me suis débarrassé de Google Authenticator suite à cet incident.