Sécurisez votre compte dmarcian avec l'authentification à deux facteurs

dmarcian est heureux d'annoncer l'authentification à deux facteurs pour les comptes utilisateurs. Cette nouvelle fonctionnalité de sécurité permet une authentification basée sur un jeton avec une application, comme Authy ou Google Authenticator, ou FIDO Universal Second Factor (U2F) qui permet d'utiliser des clés de sécurité physiques comme Yubikey ou Nitrokey. Vous pouvez lire le récent document de recherche de Google, "Security Keys : Practical Cryptographic Second Factors for the Modern Web", pour en savoir plus sur les avantages de l'authentification à deux facteurs basée sur U2F.

Instructions d'installation

Si vous souhaitez configurer 2FA, connectez-vous à votre compte et visitez la page des préférences du compte. Faites ensuite défiler la page jusqu'à la section Authentification à deux facteurs.

Cliquez sur "Add 2FA Device" et vous verrez apparaître une boîte de dialogue qui vous demande quel type de dispositif vous souhaitez ajouter.

Token via l'application Authenticator

L'authentification par jeton fonctionne en vous présentant un code QR que vous pouvez scanner avec une application. Une fois scanné, cette application produira un code toutes les quelques minutes que vous devrez saisir lorsque vous y serez invité lors de votre connexion. L'authentification par jeton est généralement associée aux applications mobiles, mais il existe également des applications de bureau.

Il existe de nombreux choix pour les appareils iOS et Android (y compris les montres), et nous avons relié quelques-unes des options les plus populaires.

• Authy
• Duo Mobile
• Authentificateur LastPass
• Google Authenticator
• Microsoft Authenticator

Il existe également des options sur le bureau, sous la forme d'une application autonome ou d'une extension de navigateur.

• Authy - MacOS, Windows (application) et Linux (extension de navigateur)
• Yubico Authenticator - MacOS, Windows et Linux (application)
• 1Password - MacOS, Windows (application) et Linux (extension du navigateur)
• Bitwarden - MacOS, Windows et Linux (application et extension)

Une fois que vous avez configuré une application d'authentification, choisissez Token via Authenticator App et cliquez sur Next. Vous serez invité à nommer votre appareil car vous pouvez configurer plusieurs applications ou appareils d'authentification par jeton. Donnez un nom à celui-ci pour vous aider à l'identifier et cliquez sur Suivant.

Vous verrez ensuite une boîte de dialogue affichant une image de code QR et une boîte de confirmation. Ouvrez votre application d'authentification et utilisez-la pour scanner le code QR. Sur un appareil mobile, l'application accédera à votre appareil photo, tandis qu'une application de bureau devra mettre en évidence une partie de l'écran. Le tableau ci-dessous n'est qu'un exemple. Vous verrez votre propre code unique.

Une fois que vous avez scanné l'image, votre application devrait vous montrer un code à 6 chiffres. Saisissez ce code dans le champ Code de l'application Authenticator et cliquez sur Vérifier et créer. N'oubliez pas que le code change toutes les minutes ou toutes les deux minutes. Si le code ne fonctionne pas du premier coup, vous devrez peut-être en utiliser un nouveau. La plupart des applications d'authentification ont un indicateur qui montre combien de temps le code fonctionnera.

Une fois l'application vérifiée, vous êtes prêt à l'utiliser, mais il reste une dernière étape de sécurité. Les téléphones se perdent ou s'égarent et vous ne voulez pas être bloqué hors de votre compte si cela se produit, nous vous fournissons donc dix codes de sauvegarde qui peuvent être utilisés une seule fois chacun. Conservez-les dans un endroit sûr, par exemple dans une application de gestion des mots de passe ou même imprimés dans un dossier verrouillé. Vous ne les utiliserez pas, sauf si vous avez perdu votre appareil. Vous pouvez soit les copier, soit les télécharger.

La prochaine fois que vous vous connecterez, vous verrez apparaître l'écran Vérifier votre connexion. Ouvrez votre application et tapez le code affiché à l'écran pour terminer la connexion. Vous pouvez également cliquer sur "Utiliser un code de secours" si nécessaire.

Clé de sécurité FIDO Universal Second Factor (U2F)

FIDO2 U2F est une norme ouverte permettant d'utiliser des clés de sécurité physiques pour accéder à des services en ligne, ne nécessitant pas l'installation de pilotes ou de logiciels sur l'ordinateur. Il s'agit d'une approche du 2FA qui crée à la fois une meilleure expérience utilisateur et une sécurité extrême. C'est une réalisation rare. Il suffit de se connecter et d'appuyer sur la clé lorsque vous y êtes invité.

En 2017, Google a exigé que les 85 000+ employés utilisent des clés de sécurité et attribue à ce changement l'élimination complète des attaques de phishing réussies contre ses employés. Ici, chez dmarcian, nous avons la même politique pour les employés et nous sommes ravis de rendre la fonctionnalité disponible pour nos clients. Nous avons testé avec Yubikeys et Nitrokey FIDO U2F, mais toute clé ou dispositif compatible U2F devrait fonctionner.

FIDO U2F est pris en charge par Google Chrome, Mozilla Firefox, Microsoft Edge, Opera et Apple Safari qui utilisent la technologie WebAuthn. Google Chrome et Mozilla Firefox prennent tous deux en charge cette technologie depuis début 2018, mais si vous utilisez actuellement un navigateur plus ancien, il est possible qu'elle ne soit pas disponible. Votre navigateur vous présentera un indicateur pour vous indiquer s'il n'est pas compatible.

Pour la configurer, sélectionnez FIDO Security Key et cliquez sur Next.

Nommez ensuite votre dispositif. Comme vous pouvez associer plusieurs dispositifs 2FA à votre compte, donnez à chacun un nom distinctif.

Cliquez sur Suivant et votre navigateur devrait créer un dialogue vous invitant à toucher votre clé de sécurité. Une fois terminé, le dialogue disparaîtra et vous verrez un message de vérification.

Une fois la clé vérifiée, vous êtes prêt à utiliser l'application.

Mais il y a une dernière étape de sécurité. En cas de perte ou d'égarement de la clé, vous ne voulez pas que votre compte soit verrouillé. C'est pourquoi nous vous fournissons dix codes de secours utilisables une fois chacun. Conservez-les dans un endroit sûr. Vous ne les utiliserez que si vous avez perdu votre clé de sécurité. Vous pouvez soit les copier, soit les télécharger.

La prochaine fois que vous vous connecterez, le navigateur vous demandera de taper votre clé de sécurité pour terminer la connexion. Si vous avez plusieurs clés, n'importe laquelle d'entre elles fonctionnera.

---

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.