Service de sauvegarde et de stockage de fichiers en ligne Boîte de dépôt a commencé à proposer une fonctionnalité d’authentification en deux étapes pour aider les utilisateurs à renforcer la sécurité de leurs comptes. Le changement promis intervient moins d’un mois après que la compromission du compte d’un employé de Dropbox a révélé de nombreuses adresses e-mail d’utilisateurs de Dropbox.
Les utilisateurs de Dropbox peuvent profiter de la nouvelle mesure de sécurité en se connectant à ce lien, puis cliquez sur l’onglet « Sécurité ». Sous Connexion au compte, cliquez sur le lien à côté de « Vérification en deux étapes ». Vous aurez la possibilité d’obtenir un code de sécurité envoyé sur votre appareil mobile ou d’utiliser l’un des plusieurs applications mobiles qui tirent parti de la Mot de passe à usage unique basé sur le temps algorithme.
Si vous connaissez déjà le Application Google Authenticator pour le processus de vérification en deux étapes de Gmail (disponible pour Android/iPhone/BlackBerry), c’est une évidence : lorsque vous y êtes invité, ouvrez l’application et créez un nouveau jeton, puis utilisez l’application pour scanner le code-barres sur l’écran de votre ordinateur. Entrez la clé générée par l’application dans les paramètres de votre compte sur le site, et vous avez terminé. Les autres applications prises en charge incluent Amazon AWS MFA (Android) et Authentificateur (Windows Phone 7).
Notez que les utilisateurs de DropBox devront télécharger le dernière version du client Dropbox (1.4.17 sur Windows/Mac) pour accéder à leurs fichiers via l’interface du logiciel de bureau Dropbox après avoir activé l’authentification en deux étapes.
Certains lecteurs ont demandé quelle méthode de vérification en deux étapes est la plus sécurisée : SMS ou application mobile ? Les SMS sont peut-être plus rapides et plus faciles, mais ils introduisent encore une autre voie potentielle de compromis : le fournisseur de téléphonie mobile. Lors d’une récente attaque contre le directeur général de Nuageux, par exemple, des malfaiteurs ont pu pénétrer par effraction dans le compte Gmail du dirigeant même s’il avait demandé à la fonction de vérification en deux étapes de Google d’envoyer des codes sur son téléphone. Cette attaque a réussi parce que les malfaiteurs ont réussi à tromper un représentant du service client de son opérateur de téléphonie mobile. AT&T — à transférer ses messages vers un autre compte.