Discord a rendu l’authentification multifacteur (MFA) par clé de sécurité disponible pour tous les comptes de la plate-forme, apportant des avantages significatifs en matière de sécurité et d’anti-hameçonnage à ses plus de 500 millions d’utilisateurs enregistrés.
La populaire plateforme sociale a souligné pour la première fois les avantages de l’utilisation des clés de sécurité avec Webauth en août 2023 lorsqu’elle a déployé des protections de compte supplémentaires pour ses employés.
Discord a maintenant apporté la fonctionnalité WebAuthn à tous les utilisateurs Discord, permettant aux utilisateurs de remplacer l’ancien système MFA qui repose sur des mots de passe à usage unique basés sur le temps, des codes de sauvegarde à usage unique à 8 chiffres et des messages SMS contenant un code de vérification à 6 chiffres.
Les utilisateurs de Discord peuvent désormais accéder à Paramètres > Mon compte > Enregistrer une clé de sécurité et utiliser WebAuthn pour configurer Windows Hello, Face ID ou Touch ID d’Apple et les clés de sécurité matérielles pour l’authentification.
Cette nouvelle fonctionnalité améliore la protection contre le vol d’informations d’identification, car elle nécessite un appareil physique, qu’il s’agisse d’un ordinateur ou d’un téléphone portable, pour se connecter à votre compte Discord.
Avantage Webauth
WebAuthn est une norme Web pour l’authentification sécurisée sans mot de passe développée par le W3C et l’Alliance FIDO.
Il permet aux utilisateurs de se connecter à des comptes Internet à l’aide de données biométriques, d’appareils mobiles et de clés de sécurité physiques, qui sont plus sécurisées que les mots de passe traditionnels et intrinsèquement résistantes au phishing.
L’article de Discord met en évidence les trois principaux avantages suivants de l’utilisation de l’API WebAuthn:
- Non phisable: Uniquement discord.com peut demander une authentification via l’authentification Web, de sorte que les clés sont hors de portée des acteurs du phishing.
- Non devinable: Contrairement aux mots de passe statiques, la réponse de WebAuthn change à chaque connexion, ce qui le rend insensible aux attaques par rejeu.
- Facile à utiliser: En offrant une intégration transparente avec Windows Hello, Apple Face ID et Touch ID, la connexion sécurisée à votre compte Discord devient beaucoup plus facile et plus rapide.
Bien que WebAuthn soit pris en charge par tous les principaux navigateurs Web, son intégration plus simple sur le client electron de Discord et les applications mobiles était un peu plus compliquée.
Sur mobile, l’équipe a utilisé Swift pour iOS et Kotlin pour Android pour développer l’implémentation dans les langues natives.
Le framework Electron a été sélectionné pour les applications de bureau Windows et mac OS. Un module Objective-C++ personnalisé a été développé pour macOS pour appeler du code natif Mac pour la fonctionnalité WebAuthn.
Les options MFA héritées restent disponibles pour ceux qui en ont besoin, donc si vous n’avez configuré aucune protection 2FA pour votre compte Discord, envisagez d’en ajouter une maintenant.
Discord promet de continuer à travailler sur l’introduction d’une connexion sans mot de passe basée sur WebAuthn à l’avenir.