Avec la guerre (en vrai) et les cyber attaques (en virtuel), la situation de l’Internet est à risque!
Il suffit qu’un hacker pénètre dans un site et récupère la base des utilisateurs ou l’Active Directory, et le voilà en possession des logins et mots de passes…
Il a ensuite tout le temps de venir subtiliser les données de votre compte!
2 mesures à prendre:
- Ne pas utiliser le même mot de passe partout!
Et c’est très facile, j’ai fait une page Comment choisir un mot de passe sûr sans jamais avoir besoin de le taper?
- Passer à l’authentification 2FA!
Kesako 2FA?
Quand vous vous connectez à un compte protégé par l’authentification à 2 facteurs, après avoir saisi login et mot de passe, le site vous demande un code à 6 chiffres (qu’il calcule de son côté) et vous utilisez une appli qui fait pareil de votre côté. Vous saisissez le code donné par l’appli et si c’est le même que celui calculé par le site, vous avez accès à votre compte!
Pourquoi ça protège du vol de login/mot de passe ? parce que login/mot de passe ne suffisent plus pour accéder à votre compte!
Et si le voleur a aussi une appli 2FA sur son téléphone ? Au moment où on passe un compte en 2FA, le site échange avec votre appli une clé unique qui permet le calcul du code à 6 chiffres. Le voleur ne possède pas cette clé et ne peut donc pas calculer le code!
ATTENTION!!
Il existe en fait plusieurs méthodes pour gérer l’échange des clés ou le calcul du code mais certaines ne sont pas sûres !!! (exemple par email ou SMS).
Conseil : utilisez une appli 2FA ou bien une clé 2FA!
Quelles sont les applis 2FA ?
Il existe des applications GAFAM comme Google Authenticator ou Microsoft Authenticator, et des applis spécifiques comme Aegis, Authy Krypton ou encore Yubico qui s’utilise avec une clé Yubico!
Conseil 1 : utilisez Aegis, open source, disponible sur F-Droid et qui sauvegarde de façon sécurisée son coffre de clés directement sur votre téléphone et pas dans le cloud ou chez un GAFAM.
Conseil 2 : faites une copie de sauvegarde du coffre Aegis ailleurs que sur votre téléphone! Sur votre PC, automatiquement par synchronisation si vous utilisez SyncThing …
Quels sites permettent la sécurisation des comptes 2FA ?
Il y a un site qui les liste tous: 2fa.directory!
Profitez-en pour sécuriser vos comptes bancaires, vos réseaux sociaux, vos sites d’achats, …
Frandroid a fait une belle page de conseils!
Numerama a aussi sa page!
A lire aussi:
ANSSI : Recommandations relatives à l’authentification multifacteur et aux mots de passe | Agence nationale de la sécurité des systèmes d’information
https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
CNIL : Sécurité : utilisez l’authentification multi-facteur pour vos comptes en ligne | CNIL
https://www.cnil.fr/fr/securite-utilisez-lauthentification-multifacteur-pour-vos-comptes-en-ligne
KORBEN : L’authentification double facteur (2FA), oui mais pas n’importe comment !
https://korben.info/authentification-double-facteur-2fa.html