Là où l'authentification à deux facteurs est insuffisante

Les concepteurs de sites Web sont constamment bombardés de conseils de sécurité. Nous sommes informés des meilleures pratiques, des failles de sécurité et des correctifs nécessaires. C'est assez pour vous faire tourner la tête.

Bien sûr, tout cela est important et bien intentionné. La sécurité en ligne est une cible en constante évolution, à laquelle même les plus grands acteurs sont sensibles. C'est donc à nous de nous tenir au courant des derniers développements.

L'authentification à deux facteurs (2FA) a été l'une des technologies les plus vantées pour assurer la sécurité des comptes en ligne. Vous le voyez mis en œuvre partout, de la banque aux médias sociaux. Et il peut également être facilement installé sur votre propre site Web.

Bien que 2FA puisse être efficace pour contrecarrer l'accès non autorisé à nos comptes, il présente également des inconvénients potentiellement majeurs. Récemment, j'ai vécu cela de première main. Ce qui suit est un aperçu de ce qui s'est passé et du désordre qu'il a contribué à créer.

Différentes implémentations entre les fournisseurs - avec un fil commun

Comme à peu près toutes les autres technologies, l'authentification à deux facteurs peut être mise en œuvre de plusieurs façons. Les utilisateurs peuvent s'authentifier via un SMS, un e-mail ou un code de vérification à partir d'une application telle que Google Authenticator. Ils peuvent également sélectionner une photo de confiance qui s'affiche à chaque connexion, garantissant ainsi qu'ils ne se trouvent pas sur un site de phishing.

Parfois, un fournisseur de services vous donnera le choix. Mais très souvent, vous êtes coincé avec la méthode qu'ils proposent. Plus vous protégez de comptes via 2FA, plus tout cela devient compliqué.

Par exemple, de nombreux endroits utilisent des messages SMS pour votre téléphone. Mais encore une fois, certains auront également besoin de cette application d'authentification. D'autres encore auront une prise différente. Le défi consiste à essayer de garder une trace de qui utilise quelle technologie et de s'assurer que vous avez les bons outils à portée de main.

Mais il semble que la plupart des méthodes aient un point commun : elles dépendent de votre appareil mobile pour fonctionner. C'est sûr que c'est pratique. Et si quelque chose arrivait à cet appareil ?

Un téléphone défectueux mène au chaos

C'est la situation dans laquelle je me suis retrouvé, car la connexion de données mobiles sur mon téléphone Android s'est détraquée. Les messages texte étaient retardés de plusieurs heures ou n'étaient pas livrés du tout. Un membre de la famille résidant dans la même maison et sur le même réseau a très bien reçu ses messages. Cela m'a amené à croire qu'il s'agissait d'une sorte de panne matérielle.

Comme on le fait dans cette situation difficile, j'ai essayé un certain nombre de remèdes. Cela comprenait la redoutable "option nucléaire" de la réinitialisation d'usine de mon téléphone. Ça vaut le coup d'essayer, non ?

Le problème ici était double. Tout d'abord, le problème de messagerie texte n'a pas été résolu. Pire encore, cela m'a déconnecté de tous mes différents comptes. Google, Facebook, Twitter, etc. ont tous été détruits. C'est peut-être mieux pour ma santé mentale, mais probablement pas si bon pour le travail/les loisirs.

Tenter de se reconnecter à chacun de ces comptes n'était pas si facile. Pourquoi? À cause de 2FA, bien sûr.

Google était particulièrement difficile, car les deux seules options qu'il m'offrait étaient liées à mon téléphone. Il voulait m'envoyer un texto – mais ça n'allait pas marcher. Et ils ont également autorisé un code Google Authenticator. Cela aurait été formidable, mais il fallait que je sois connecté à mon compte Google pour, vous savez, avoir accès au code.

La solution consistait enfin à démarrer mon ordinateur de bureau et à désactiver temporairement 2FA pour Google (ils n'aimaient vraiment pas cela). Doux soulagement, j'ai récupéré mon Gmail.

Pour encore plus de plaisir, j'ai dû répéter un processus similaire avec plusieurs autres comptes. Ironiquement, je ne peux pas accéder à ma banque en ligne via mon ordinateur, car elle repose sur la vérification par SMS. Je peux cependant y accéder sur mon téléphone car il n'y a pas une telle exigence. Rien que d'y penser, j'ai des sueurs froides.

Bien sûr, ma situation n'est pas unique. Toute personne n'ayant pas accès à son appareil mobile pourrait facilement se retrouver dans le même bateau.

Leçons apprises

Les frustrations associées à 2FA peuvent être utiles comme moment d'apprentissage. Ceux d'entre nous qui construisent des sites Web pour gagner leur vie se félicitent d'augmenter la sécurité - et à juste titre. Mais la mise en œuvre de cette technologie en soi n'est pas la fin de notre mission.

Au lieu de cela, il faut une réflexion sérieuse. Voici quelques éléments à garder à l'esprit avant d'ajouter l'authentification à deux facteurs à votre site Web :

2FA n'a pas nécessairement besoin d'être une exigence

Il est tentant de forcer les utilisateurs à utiliser l'authentification à deux facteurs. Et dans certaines circonstances à haut risque, cela a du sens.

Mais pour la plupart des sites, vous pouvez plutôt envisager d'appliquer des exigences strictes en matière de mot de passe. Par exemple, si vous gérez un site d'adhésion qui ne contient rien de secret, 2FA pourrait être facultatif. Mais peut-être demandez-vous aux utilisateurs de changer de mot de passe tous les six mois.

C'est un peu moins compliqué pour les utilisateurs et, espérons-le, moins de travail d'assistance pour vous. Et n'oubliez pas l'accessibilité. Malgré les hypothèses, tout le monde n'a pas accès à plusieurs appareils.

Fournir des alternatives

Bien que cela puisse être difficile du point de vue de la maintenance, proposer plus d'une seule méthode de 2FA pourrait être bénéfique. Les utilisateurs peuvent choisir la saveur qui leur convient le mieux. Ou, à la rigueur, ils pourraient même changer ce qu'ils utilisent si leur appareil mobile devenait indisponible.

En dehors de cela, offrez au moins un moyen facile pour les gens de vous contacter s'ils rencontrent des problèmes. C'est incroyablement frustrant lorsque vous ne pouvez pas accéder à votre compte et qu'il n'y a personne pour vous aider.

Attendez-vous à des défis

Il est possible de tout faire correctement et de rencontrer des utilisateurs qui ont des problèmes de connexion. Par exemple, certaines implémentations 2FA offrent des codes de sauvegarde à usage unique. Ils sont parfaits lorsque la méthode d'authentification que vous avez choisie ne fonctionne pas.

Cependant, tout le monde ne prendra pas le temps de sauvegarder ou d'imprimer ces codes (je ne l'ai certainement pas fait). Par conséquent, il est important de se préparer aux problèmes inévitables qui se produiront.

L'authentification à deux facteurs est utile, mais loin d'être parfaite

Tout compte fait, il y a beaucoup de raisons d'aimer 2FA. Il peut être assez simple à mettre en œuvre et permet d'empêcher l'accès non autorisé aux données des utilisateurs. Et il existe un certain nombre de méthodes différentes disponibles.

Ce n'est pas sans ses défauts, cependant. Comme je l'ai découvert, un téléphone bancal peut causer beaucoup de problèmes. L'impossibilité de se connecter à vos comptes les plus importants met votre vie au point mort. Imaginez ne pas pouvoir accéder à votre compte bancaire ou même à votre fournisseur de téléphonie mobile.

Alors, par tous les moyens, ajoutez une authentification à deux facteurs à vos sites Web et applications. Mais planifiez à l'avance et essayez de rendre le processus indolore pour les utilisateurs. Vous pouvez vous attendre à un environnement plus sécurisé, mais ne vous attendez pas à des miracles.