Le Authentification à deux facteurs est généralement considéré comme le jeu le plus sûr pour sécuriser vos comptes Google, ce qui vous oblige (l'utilisateur) à saisir un code que vous avez reçu par SMS sur votre téléphone avant de pouvoir vous connecter à un compte protégé par 2FA. Cela empêche quiconque d'accéder sans autorisation à votre compte, même s'il parvient à mettre la main sur votre Mot de passe. Et ce processus d'authentification à double couche est pris en charge par de nombreux services en ligne, y compris les grandes banques, Google, Facebook et même le gouvernement.
Cela a été introduit juste pour garantir que les pirates auraient besoin à la fois de leurs mots de passe et de leur téléphone portable pour pirater les comptes. C'est devenu une pratique courante de nos jours en raison de ses avantages supplémentaires. Mais à partir de maintenant, il ne sera plus disponible pour les utilisateurs.
L'authentification à deux facteurs basée sur SMS est morte :
Cette couche de protection supplémentaire a été déclarée et elle appartiendra très bientôt au passé. US Institut National des Standards et de la technologie (NIST) a publié une nouvelle version de sa directive sur l'authentification numérique qui indique que l'authentification à deux facteurs basée sur SMS devrait être interdite à l'avenir en raison de problèmes de sécurité.
Selon ce projet,
« Si la vérification hors bande doit être effectuée à l'aide d'un message SMS sur un réseau de téléphonie mobile public, le vérificateur DOIT vérifier que le numéro de téléphone pré-enregistré utilisé est effectivement associé à un réseau mobile et non à une VoIP (ou autre logiciel). Il envoie ensuite le message SMS au numéro de téléphone pré-enregistré. Le changement du numéro de téléphone pré-enregistré NE DOIT PAS être possible sans authentification à deux facteurs au moment du changement. OOB [Vérification hors bande] à l'aide de SMS est obsolète et ne sera plus autorisé dans les futures versions de ce guide.
Comment l'authentification à deux facteurs basée sur SMS n'est-elle pas sécurisée ?
- Le NIST (National Institue Of Standards And Technology) indique que l'authentification à deux facteurs basée sur SMS est un processus non sécurisé pour les raisons suivantes :
- L'exploitant du site Web n'a aucun moyen de vérifier si la personne qui reçoit le code 2FA est le bon destinataire ou non. Ainsi, votre compte est exposé au risque lorsque quelqu'un vole votre mobile.
- Il existe de nombreuses possibilités de détournement si l'individu utilise un protocole-voix-sur-internet (VoIP) car il fournit un service d'appel téléphonique via une connexion Internet haut débit au lieu d'un réseau traditionnel.
- Avec l'aide du service VOIP, les pirates pourraient toujours accéder à vos comptes protégés par une authentification à deux facteurs basée sur SMS.
- Certains appareils affichent le code 2FA même sur l'écran de verrouillage.
- Les pirates peuvent recevoir votre OTP en détournant le SMS contenant le code vers leur propre appareil. En outre, ils peuvent réinitialiser vos comptes Facebook ou Gmail en recevant le code de réinitialisation. Cela est dû aux défauts de conception de SS7 (Signalling System Number 7).
BIOMETRIC va remplacer 2FA :
Le NIST suggère d'utiliser Biométrie (Scanner d'empreintes digitales) car il est plus sécurisé que 2FA. À cet égard, le projet de DAG se lit comme suit :
"Par conséquent, l'utilisation de la biométrie pour l'authentification est prise en charge, avec les exigences et directives suivantes : La biométrie DOIT être utilisée avec un autre facteur d'authentification (quelque chose que vous connaissez ou que vous possédez)."
En gardant la biométrie de côté, de nombreuses entreprises technologiques comme Facebook et Google offrent desgénérateur de code d'application comme solution alternative pour 2FA car ce générateur de code d'application ne repose pas sur les SMS ou l'opérateur réseau.
Récemment, Google a également rendu son authentification à deux facteurs beaucoup plus facile et rapide en introduisant une nouvelle méthode appelée Invite Google. Il utilise une simple notification push où vous devez approuver les demandes de connexion en un seul clic. Toutes ces raisons s'opposent collectivement à la fin de l'authentification à deux facteurs par SMS. Ainsi, les utilisateurs devraient être plus prudents avec leurs comptes.
Doit lire: Comment les pirates parviennent à contourner l'authentification à deux facteurs de Google
