« Activez deux facteurs authentification »est un conseil solide, et WIRED a répété pendant des années. Cela garantit que votre mot de passe n’est pas la seule ligne de défense contre l’accès non autorisé à vos comptes. Le seul problème? Il incombait toujours toi pour savoir comment y arriver. Maintenant, Google fait ses premiers pas vers l’activation de deux facteurs par défaut pour tous ses utilisateurs – et là où Google va dans la sécurité Web, le reste de l’industrie suit souvent.
La société a déclaré dans un article de blog cette semaine, il commencera à demander aux utilisateurs qui ont déjà activé la vérification en deux étapes de s’authentifier en appuyant sur une invite sur leur smartphone chaque fois qu’ils se connectent à leur compte Google ou Gmail. (Gmail compte environ 1,8 milliard d’utilisateurs; les utilisateurs peuvent également créer des comptes Google à l’aide d’adresses e-mail d’autres services.) Une fois que Google aura évalué les données sur la facilité avec laquelle les utilisateurs existants à deux facteurs interagissent avec ces invites mobiles, l’entreprise commencera automatiquement à opter pour utilisateurs dans la vérification en deux étapes.
« Nous commençons par les utilisateurs pour lesquels ce sera le changement le moins perturbateur et prévoyons de nous développer à partir de là en fonction des résultats », a déclaré Mark Risher, directeur de la gestion des produits de Google pour la sécurité des identités et des utilisateurs, à WIRED. «Il est vrai que l’authentification multifactorielle a toujours été considérée comme fastidieuse et difficile à mettre en place, mais pour de nombreux utilisateurs, ce n’est plus le cas.»
L’authentification multifactorielle ajoute une ou plusieurs vérifications supplémentaires à un processus de connexion au-delà d’un simple nom d’utilisateur et mot de passe. Votre deuxième facteur pourrait être un code éphémère, généré aléatoirement à partir d’une application d’authentification, la présence d’une clé d’authentification physique comme un Yubikey, ou même un jeton numérique intégré à votre smartphone. Et en ajoutant au moins une de ces couches supplémentaires, il est beaucoup plus difficile pour les hameçonneurs, les escrocs ou autres pirates malveillants de pénétrer vos comptes numériques.
Alors que l’authentification multifactorielle semble être une fonctionnalité de sécurité manifestement bénéfique, les entreprises hésitent à en imposer l’utilisation à tout le monde. Exiger deux facteurs pourrait dissuader les consommateurs d’essayer leurs services, ce qui nuirait finalement à leur entreprise. Les utilisateurs peuvent également ne pas disposer de l’équipement ou du savoir-faire pour naviguer dans l’authentification multifactorielle, les excluant ainsi des services qu’ils pourraient autrement vouloir utiliser.
«En fin de compte, nous voulons que tous nos utilisateurs disposent des meilleures protections de sécurité, par défaut, sur leurs appareils et comptes», déclare Risher. «Dans le même temps, nous reconnaissons que les options de vérification en deux étapes actuelles ne conviennent pas à tous les utilisateurs, c’est pourquoi nous travaillons activement sur des technologies qui offrent une expérience d’authentification sécurisée et équitable et éliminent la dépendance aux mots de passe.»
Les utilisateurs de Google pourront toujours désactiver l’authentification à deux facteurs s’ils changent d’avis. L’objectif, cependant, est de pousser à la fois les utilisateurs et le secteur de la technologie au sens large vers une norme de base à deux facteurs.
Google a été un chef de file dans d’autres transitions majeures de la sécurité Web, de la promotion mises à jour automatiques et sandbox avec Chrome pour pousser HTTPS omniprésent cryptage du trafic Web. Ce n’est pas le seul gros frappeur à commencer à habituer ses utilisateurs à l’authentification multifactorielle. Apple n’a pas totalement mandaté deux facteurs pour ses identifiants Apple, mais ces dernières années, la société a fait la promotion de cette fonctionnalité de manière agressive et a rendu de plus en plus difficile le retrait.
«C’est formidable de voir Google faire progresser le secteur en incitant les utilisateurs à activer l’authentification multifactorielle, dans ce cas avec nos smartphones», déclare Kenn White, ingénieur en sécurité et fondateur du projet Open Crypto Audit. «Si nous pouvons faciliter le dépassement des simples informations d’identification, c’est une victoire pour la sécurité des comptes et pour tout le monde. Et nous commençons progressivement à voir de grandes organisations comme les banques et les soins de santé adopter des protections urgentes telles que l’obligation à deux facteurs. »
.