Sécurisez votre compte dmarcian avec l'authentification à deux facteurs

La fonction de sécurité Authentification à deux facteurs de dmarcian permet une authentification basée sur un jeton avec une application, comme Authy ou Google Authenticator, ou FIDO Universal Second Factor (U2F) qui permet d'utiliser des clés de sécurité physiques comme Yubikey ou Nitrokey.

Vous pouvez lire le récent document de recherche de Google, "Security Keys : Practical Cryptographic Second Factors for the Modern Web", pour en savoir plus sur les avantages de l'authentification à deux facteurs basée sur l'U2F.

Instructions de configuration

Pour configurer l'authentification à deux facteurs, connectez-vous à votre compte et visitez la page des préférences du compte. Faites ensuite défiler la page jusqu'à la section Authentification à deux facteurs.

Cliquez sur « Ajouter un appareil 2FA » et une boîte de dialogue vous demandera quel type d'appareil vous souhaitez ajouter.

Jeton via l'application d'authentification

L'authentification par jeton fonctionne en vous présentant un code QR que vous pouvez scanner avec une application. Une fois scannée, cette application produira un code toutes les quelques minutes que vous devrez saisir lorsque vous y serez invité lors de votre connexion. L'authentification par jeton est généralement associée aux applications mobiles, mais il existe également des applications de bureau.

Il existe de nombreux choix pour les appareils iOS et Android (y compris les montres), et nous avons lié quelques-unes des options les plus populaires.

• Authy
• Duo Mobile
• LastPass Authenticator
• Google Authenticator
• Microsoft Authenticator

Il existe également des options sur ordinateur, sous forme d'application autonome ou d'extension de navigateur.

• Authy – MacOS, Windows (application) et Linux (extension de navigateur)
• Yubico Authenticator – MacOS, Windows et Linux (application)
• 1Password – MacOS, Windows (application) et Linux (extension de navigateur)
• Bitwarden – MacOS, Windows et Linux (application et extension)

Une fois que vous avez configuré une application d'authentification, choisissez Jeton via l'application d'authentification et cliquez sur Suivant. Une invite vous demandera de nommer votre appareil, car vous pouvez configurer plusieurs applications ou appareils d'authentification par jeton. Donnez un nom à celui-ci pour vous aider à l'identifier, puis cliquez sur Suivant.

Ensuite, une boîte de dialogue s'affichera, présentant une image de code QR et une boîte de confirmation. Ouvrez votre application d'authentification et utilisez-la pour scanner le code QR. Sur un appareil mobile, l'application accédera à votre appareil photo, tandis qu'une application de bureau devra surligner une section de l'écran. L'image ci-dessous n'est qu'un exemple, vous verrez votre propre code unique.

Une fois l'image scannée, votre application devrait afficher un code à 6 chiffres. Saisissez ce code dans le champ Code de l'application d'authentification et cliquez sur Vérifier et créer. N'oubliez pas que le code change toutes les minutes ou deux, donc s'il ne fonctionne pas la première fois, vous devrez peut-être utiliser un nouveau code. La plupart des applications d'authentification ont un indicateur qui montre la durée de validité du code.

Une fois l'application vérifiée, vous êtes prêt à l'utiliser, mais il reste une dernière étape de sécurité. Les téléphones peuvent être perdus ou égarés, et vous ne voulez pas être bloqué hors de votre compte si cela se produit. C'est pourquoi nous vous fournissons dix codes de secours, chacun utilisable une seule fois. Stockez-les dans un endroit sûr, comme une application de gestion de mots de passe ou même imprimés dans un dossier sécurisé. Vous ne les utiliserez que si vous avez perdu votre appareil. Vous pouvez les copier ou les télécharger.

La prochaine fois que vous vous connecterez, l'écran Vérifier votre connexion s'affichera. Ouvrez votre application et saisissez le code affiché à l'écran pour finaliser la connexion. Vous pouvez également cliquer sur « Utiliser un code de secours » si nécessaire.

Clé de sécurité FIDO Universal Second Factor (U2F)

FIDO2 U2F est un standard ouvert permettant d'utiliser des clés de sécurité physiques pour accéder aux services en ligne, sans nécessiter l'installation de pilotes ou de logiciels sur l'ordinateur. C'est une approche de l'authentification à deux facteurs (2FA) qui offre à la fois une meilleure expérience utilisateur et une sécurité extrême. C'est une prouesse rare. Il suffit de se connecter, puis de toucher la clé lorsque vous y êtes invité.

En 2017, Google a exigé que ses plus de 85 000 employés utilisent des clés de sécurité et attribue à ce changement l'élimination complète des attaques de phishing réussies contre ses employés. Chez dmarcian, nous avons la même politique pour nos employés et nous sommes ravis de rendre cette fonctionnalité disponible pour nos clients. Nous avons testé avec des Yubikeys et des Nitrokey FIDO U2F, mais toute clé ou appareil compatible U2F devrait fonctionner.

FIDO U2F est pris en charge par Google Chrome, Mozilla Firefox, Microsoft Edge, Opera et Apple Safari via la technologie WebAuthn. Google Chrome et Mozilla Firefox prennent en charge cette technologie depuis début 2018, mais si vous utilisez actuellement un navigateur plus ancien, elle pourrait ne pas être disponible. Votre navigateur affichera un indicateur pour vous informer s'il n'est pas compatible.

Pour le configurer, sélectionnez Clé de sécurité FIDO et cliquez sur Suivant.

Ensuite, nommez votre appareil. Étant donné que vous pouvez associer plusieurs appareils 2FA à votre compte, donnez à chacun un nom distinctif.

Cliquez sur Suivant et votre navigateur devrait afficher une boîte de dialogue vous invitant à toucher votre clé de sécurité. Une fois l'opération terminée, la boîte de dialogue disparaîtra et vous verrez un message de vérification.

Une fois la clé vérifiée, vous êtes prêt à utiliser l'application.

Mais il reste une dernière étape de sécurité. Au cas où la clé serait perdue ou égarée, vous ne voulez pas être bloqué hors de votre compte. C'est pourquoi nous vous fournissons dix codes de secours, chacun utilisable une seule fois. Stockez-les dans un endroit sûr. Vous ne les utiliserez que si vous avez perdu votre clé de sécurité. Vous pouvez les copier ou les télécharger.

La prochaine fois que vous vous connecterez, le navigateur vous invitera à nouveau à toucher votre clé de sécurité pour finaliser la connexion. Si vous avez plusieurs clés, n'importe laquelle d'entre elles fonctionnera.

---

Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.