Google cette semaine a facilité la tâche Android aux utilisateurs d’activer l’authentification forte à 2 facteurs (2FA) lors de la connexion aux différents services de Google. La société a annoncé que tous les téléphones fonctionnant sous Android 7.0 et supérieur peuvent désormais être utilisés comme Clés de sécuritéune couche d’authentification supplémentaire qui permet de contrecarrer les sites de phishing et le vol de mots de passe.
Comme l’a révélé pour la première fois BreachTrace l’été dernier, Google affirme qu’aucun de ses plus de 85 000 employés n’a été victime d’hameçonnage sur leurs comptes professionnels depuis le début de 2017, lorsqu’il a commencé à exiger que tous les employés utilisent des clés de sécurité physiques à la place des mots de passe et un- codes horaires.
Les clés de sécurité les plus couramment utilisées sont des périphériques USB peu coûteux qui offrent une approche alternative à 2FA, qui oblige l’utilisateur à se connecter à un site Web en utilisant quelque chose qu’il connaît (le mot de passe) et quelque chose qu’il possède (par exemple, un jeton à usage unique , porte-clés ou appareil mobile).
Mais Google a déclaré à partir de cette semaine, tout téléphone mobile fonctionnant sous Android 7.0+ (Nougat) peut avoir la même fonction qu’une clé de sécurité USB. Une fois qu’un utilisateur a inscrit son téléphone Android en tant que clé de sécurité, l’utilisateur devra approuver les connexions via une invite envoyée sur son téléphone après avoir soumis son nom d’utilisateur et son mot de passe sur une page de connexion Google.
De nombreux lecteurs ont exprimé leur confusion ou leur scepticisme quant à la manière dont les clés de sécurité peuvent empêcher les utilisateurs d’être piégés par des sites de phishing ou des attaques intelligentes de type « man-in-the-middle ». Cette capacité a été décrite avec beaucoup plus de détails visuels dans cette vidéo l’année dernière par Marque chrétiennechef de produit chez Google Cloud.
Mais la version courte est que même si un utilisateur qui a enregistré une clé de sécurité pour l’authentification essaie de se connecter sur un site se faisant passer pour Google, les systèmes de l’entreprise refusent simplement de demander la clé de sécurité si l’utilisateur n’est pas sur un compte Google officiel. site et la tentative de connexion échoue.
« Cela vous met dans ce mode….[in] c’est-à-dire qu’il n’y a pas d’autre moyen de se connecter en dehors de la clé de sécurité », a déclaré Brand. « Personne ne peut vous piéger dans une attaque de déclassement, personne ne peut vous piéger dans quelque chose de différent. Vous devez fournir une clé de sécurité ou vous n’accéderez pas à votre compte.
Google affirme que les clés de sécurité intégrées sont disponibles sur les téléphones exécutant Android 7.0+ (Nougat) avec les services Google Play, permettant aux téléphones existants d’agir comme principale méthode 2FA des utilisateurs pour le travail (G Suite, Cloud Identity et GCP) et les comptes Google personnels pour vous connecter sur un appareil compatible Bluetooth Système d’exploitation Chrome, Mac OS Xou Windows 10 appareil avec un Chrome navigateur.
L’idée de base derrière l’authentification à deux facteurs (Google l’appelle « vérification en deux étapes » ou 2SV) est que même si les voleurs parviennent à hameçonner ou à voler votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte à moins qu’ils ne piratent ou ne possèdent également ce deuxième facteur. .
Les formes les plus courantes de 2FA exigent que l’utilisateur complète un mot de passe avec un code à usage unique envoyé sur son appareil mobile via une application (comme Authy ou Authentificateur Google), un SMS ou un appel téléphonique automatisé. Mais toutes ces méthodes sont susceptibles d’être interceptées par diverses attaques.
Par exemple, les voleurs peuvent intercepter ce code à usage unique en incitant votre opérateur de téléphonie mobile à échanger la carte SIM de votre appareil mobile ou à « porter » votre numéro de mobile vers un autre appareil.
Une clé de sécurité met en œuvre une forme d’authentification multifacteur appelée 2e facteur universel (U2F), qui permet à l’utilisateur de terminer le processus de connexion simplement en insérant le périphérique USB et en appuyant sur un bouton sur le périphérique. La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux.
Le fabricant le plus populaire de clés de sécurité est probablement Yubicoqui vend une clé U2F de base pour 20 $ (il propose des versions USB régulières ainsi que celles conçues pour les appareils nécessitant des connexions USB-C, comme le plus récent d’Apple MacOS systèmes). Yubikey vend également des clés U2F plus chères conçues pour fonctionner avec des appareils mobiles.
Un certain nombre de sites de premier plan permettent désormais aux utilisateurs d’inscrire leurs comptes avec des clés de sécurité USB ou Bluetooth, y compris Boîte de dépôt, Facebook, GithubGenericName et Twitter. Si vous décidez d’utiliser des clés de sécurité avec votre compte, c’est une bonne idée d’enregistrer une clé de secours et de la conserver dans un endroit sûr, afin que vous puissiez toujours accéder à votre compte si vous perdez votre clé initiale (ou votre téléphone, dans le cas de Google) .
Pour vous assurer que vous utilisez les formes d’authentification les plus robustes sur les sites auxquels vous confiez des données sensibles, passez quelques minutes à examiner les options sur 2fa.répertoirequi maintient probablement la liste la plus complète des sites prenant en charge 2FA, indexant chacun par type de site (e-mail, jeux, finance, etc.) et le type de 2FA proposé (SMS, appel téléphonique, jeton logiciel, etc.).
Veuillez garder à l’esprit que si les seules options 2FA proposées par un site que vous fréquentez sont les SMS et/ou les appels téléphoniques, c’est toujours mieux que de simplement compter sur un mot de passe pour sécuriser votre compte.
Je dois également noter que Google indique que les téléphones Android 7.0+ peuvent également être utilisés comme clé de sécurité pour les personnes qui ont adopté le super-paranoïaque de l’entreprise. Protection avancée option. Il s’agit d’un processus d’authentification beaucoup plus strict pour les propriétés Google, conçu spécifiquement pour les utilisateurs les plus susceptibles d’être ciblés par des attaques sophistiquées, tels que les journalistes, les militants, les chefs d’entreprise et les campagnes politiques.
J’ai activé la protection avancée peu de temps après que Google l’a rendue disponible. Ce n’était pas très difficile à configurer, mais ce n’est probablement pas pour votre utilisateur occasionnel. D’une part, il oblige les utilisateurs à inscrire deux clés de sécurité, et dans le cas où l’utilisateur perdrait ces deux clés, Google peut prendre des jours pour valider votre demande et vous accorder l’accès à votre compte.