Les mots de passe sont une forme d’authentification assez lamentable. Tout pirate informatique ou espion qui parvient à deviner ou à observer votre mot de passe obtient un accès complet à votre compte. Utiliser un gestionnaire de mots de passe pour gérer des mots de passe forts et uniques pour tous vos sites Web peut vous aider. Mais pour une sécurité sérieuse, vous avez besoin d’une authentification à deux facteurs (2FA). Et c’est précisément ce que propose gratuitement l’application Duo Mobile.
L’importance de l’authentification à deux facteurs
Tout d’abord, un petit rappel sur l’authentification à deux facteurs. Les experts en sécurité parlent de trois éléments pouvant être utilisés pour l’authentification : quelque chose que vous savez, quelque chose que vous êtes et quelque chose que vous possédez. L’authentification à deux facteurs signifie tout simplement l’utilisation d’au moins deux de ces trois éléments.
Un mot de passe est un exemple de quelque chose que vous savez ; c’est un facteur. Votre empreinte digitale est un exemple de quelque chose que vous êtes. Mais une empreinte digitale ne constitue pas un facteur secondaire fiable, car les lecteurs d’empreintes digitales ne sont ni omniprésents ni parfaitement fiables. La grande majorité des solutions modernes d’authentification à deux facteurs utilisent à la place quelque chose que presque tout le monde possède : un smartphone. Le site Turn It On explique comment activer facilement une authentification SMS pour plus de 100 sites Web.
Duo Mobile : Simplicité d’utilisation et sécurité
L’authentification basée sur les SMS fonctionne avec tous les types de téléphones mobiles, pas seulement avec les smartphones. Cependant, lorsque vous avez un smartphone, l’authentification basée sur une application est encore meilleure. Elle ne se heurte à aucune limitation de messagerie et fonctionne même sur les appareils mobiles qui ne disposent pas de connectivité cellulaire. La Task Force d’ingénierie de l’Internet a défini une norme publique pour l’authentification basée sur une application, et la solution la plus connue est Google Authenticator (GA). Cependant, Google n’est pas la seule entreprise à proposer une telle solution.
Simplicité d’utilisation : Tout comme Twilio Authy, Duo Mobile peut gérer l’authentification à deux facteurs pour de nombreux sites Web qui prennent en charge Google Authenticator. Vous commencez par installer l’application sur votre iPhone, Android, BlackBerry ou Windows Phone. Pour activer l’application pour l’authentification à deux facteurs sur un site sécurisé, il vous suffit de suivre les instructions de ce site comme si vous alliez utiliser Google Authenticator. Capturez le code QR obtenu avec Duo Mobile et vous êtes prêt à y aller.
Maintenant, chaque fois que vous avez besoin d’un code d’authentification pour un site, il vous suffit de toucher l’icône de clé à côté du nom de ce site dans la liste de Duo Mobile. Les codes sont limités dans le temps ; si le temps est écoulé, le code disparaît et vous devez retoucher la clé pour obtenir un autre code. Je préfère la manière dont Authy gère l’expiration des codes. Il indique visuellement le temps restant avant l’expiration du code et affiche automatiquement un nouveau code lorsque le temps est écoulé. Dans Google Authenticator, le code clignote en rouge quelques secondes avant son expiration.
J’ai installé Duo Mobile sur mon iPhone 6 en quelques minutes seulement. En quelques instants, j’ai configuré l’application pour l’authentification de mes comptes Gmail, Evernote et Dropbox. Simple !
Il est possible de configurer plusieurs appareils pour utiliser Duo Mobile à la place de Google Authenticator. Cependant, comme avec Google Authenticator, vous devrez configurer chaque appareil séparément. Authy, en revanche, peut effectuer une sauvegarde chiffrée de votre collection de sites sécurisés, la synchroniser entre les appareils et même révoquer l’accès à un appareil perdu ou volé.
Duo Push, encore plus simple : Lorsque Duo Mobile remplace Google Authenticator, il doit s’authentifier en fournissant un code d’authentification numérique. C’est simplement la façon dont fonctionne Google Authenticator. Mais lorsque le site utilise spécifiquement la technologie de Duo, la fonction Duo Push ultra-simplifiée devient une option.
Avec Duo Push, vous n’avez pas besoin de copier de chiffres. L’application ou le site envoie une demande d’autorisation à l’application sur votre smartphone (ou votre appareil portable), qui affiche deux simples boutons : Approuver et Refuser. Si vous êtes en train de vous connecter activement au compte en question, vous appuyez simplement sur Approuver. Si la requête semble suspecte, appuyez sur Refuser (et allez vérifier si votre compte est attaqué). Authy a créé une fonction similaire, maintenant entre les mains des développeurs de sites, et la fonction Keeper DNA de Keeper Password Manager & Digital Vault 8 vous permet de vous connecter à votre coffre-fort avec une simple pression.
Duo Security fournit une authentification à deux facteurs pour une utilisation interne par les grandes entreprises, qui peuvent bien sûr choisir entre l’authentification basée sur les codes et la solution Duo Push simple. Pour le consommateur moyen, il n’y a pas beaucoup d’endroits où l’utiliser. Mais l’un de ces rares endroits est le populaire gestionnaire de mots de passe LastPass 3.0.
Configuration pas si simple : J’ai ouvert les paramètres de mon compte LastPass et cliqué sur l’onglet “Options multifactorielles”. Même dans sa version gratuite, LastPass prend en charge Duo Mobile, ainsi que Google Authenticator, Toopher et Transakt. Les utilisateurs de LastPass 3.0 Premium peuvent également choisir de s’authentifier avec une clé YubiKey, un lecteur d’empreintes digitales ou le jeton Sesame basé sur USB.
Lorsque j’ai sélectionné Duo Security pour l’authentification à deux facteurs, LastPass m’a dirigé vers la création d’un compte Duo Security. Notez que je n’avais pas besoin d’un compte pour simplement utiliser Duo à la place de GA. J’ai renseigné mon adresse e-mail, mon numéro de mobile et un mot de passe principal. Il m’a également demandé le nom de ma société et le nombre d’employés (j’ai choisi “Juste moi”). J’ai capturé le code QR obtenu avec Duo Mobile pour finaliser l’inscription.
Lors de la connexion à mon nouveau compte, j’ai découvert la fonction Duo Push. En fait, j’ai pu choisir entre l’authentification avec Duo Push, avec un code transmis par SMS ou avec un appel téléphonique. Lorsque j’ai opté pour Duo Push, mon téléphone a émis un signal sonore. J’ai simplement appuyé sur Approuver pour terminer l’authentification. Super !
Mais ce n’était pas la fin de l’histoire. J’ai ensuite rencontré une nouvelle page d’application qui proposait des douzaines de types d’applications : Amazon, Citrix, Juniper, Microsoft, etc. J’ai réussi à trouver LastPass dans la liste. En le sélectionnant, je suis arrivé sur une page très longue avec trois éléments importants en haut : la clé d’intégration, la clé secrète et le nom d’hôte de l’API.
Après ce long détour, je suis retourné à LastPass et j’ai copié ces trois éléments. Ouf ! Enfin, j’ai réussi à activer l’authentification Duo Push pour LastPass. Et oui, s’authentifier en appuyant est nettement plus facile que de se précipiter pour copier un code à six chiffres avant qu’il ne soit trop tard. L’authentification sur une Apple Watch ou un autre appareil portable est encore plus facile, comme le montre une vidéo de 14 secondes de Duo.
Cependant, il s’avère que je n’en avais pas encore fini. Duo Security m’a affiché un message me conseillant de configurer l’authentification à deux facteurs (je pensais l’avoir déjà fait). En fait, l’assistant de configuration proposait des options supplémentaires d’authentification à deux facteurs, y compris l’authentification d’un numéro de téléphone fixe ou d’un jeton FIDO Universal Two-Factor (U2F). Une fois terminé, l’assistant m’a dirigé vers un tableau de bord impressionnant et complexe, le même que celui qu’un administrateur informatique verrait. Heureusement pour l’utilisateur moyen, il n’y a rien que vous deviez absolument comprendre ou faire avec ce tableau de bord. Et après 30 jours, l’essai gratuit des fonctionnalités spécifiques aux entreprises prend fin, ce qui laisse un tableau de bord un peu plus simple.
Conclusion
Si vous utilisez LastPass et possédez une Apple Watch, vous devriez vraiment essayer Duo Mobile. Imaginez la facilité d’authentification en appuyant simplement sur votre montre ! Et bien sûr, si vous utilisez déjà la solution Duo Security au travail, vous avez déjà l’application, il est donc logique d’utiliser Duo Mobile à la place de Google Authenticator. Cependant, je pense que Duo devrait simplifier le processus pour les consommateurs qui souhaitent simplement utiliser Duo Push pour LastPass, sans devoir passer par le même processus que celui de l’installation de Duo Security pour une entreprise.
Mais si l’authentification en un clic n’est pas une option pour vous, je trouve que Twilio Authy est plus pratique. J’aime la visualisation du temps restant avant l’expiration du code actuel, et le fait que vous pouvez synchroniser votre collection de sites sécurisés entre les appareils. Et bien sûr, Twilio travaille également sur une solution en un clic. Les deux produits sont gratuits, vous pouvez donc essayer les deux, les utiliser en même temps, y compris Google Authenticator, et voir lequel vous préférez.
