Le hack T-Mobile est exactement la raison pour laquelle vous devez utiliser l’authentification à deux facteurs. Vous ne pouvez jamais être trop prudent avec vos comptes en ligne.
Sarah Tew/CNET
T Mobile a passé la semaine dernière à contrôler les dommages après que l’opérateur sans fil a admis qu’il avait été piraté. Jusqu’à présent, T-Mobile a découvert que 54 millions de clients ont eu leurs informations personnelles, y compris leurs noms, adresses, dates de naissance et Sécurité numéros consultés.
Chaque fois que de telles violations se produisent, il est courant de se demander ce que vous pouvez faire de plus pour aider à protéger vos renseignements personnels. La réponse est : beaucoup. Commencez par créer et utiliser des mots de passe complexes stockés dans un gestionnaire de mots de passe, puis activez l’authentification à deux facteurs pour chaque compte que vous possédez et qui prend en charge le renforcement de la sécurité de votre compte. Vous devriez également vérifier si votre les mots de passe des comptes sont déjà sur le dark web, puis les modifier ; encore une fois, en utilisant un gestionnaire de mots de passe.
L’authentification à deux facteurs peut sembler technique, mais sa configuration prend plus de temps qu’autre chose. Ci-dessous, j’expliquerai ce qu’est l’authentification à deux facteurs et comment elle fonctionne, proposerai quelques bonnes pratiques et fournirai une liste restreinte de sites Web populaires qui prennent en charge la couche de sécurité supplémentaire de vos comptes. Croyez-moi, ça vaut le coup.
Regarde ça:
Violation de données T-Mobile : ce que vous devez savoir
2:42
Qu’est-ce que l’authentification à deux facteurs ?
L’authentification à deux facteurs (également parfois écrite sous le nom de 2FA) est également communément appelée vérification en deux étapes ou vérification multifacteur. Par souci de simplicité, je vais l’appeler 2FA ou authentification à deux facteurs pour la durée de cet article.
Considérez l’authentification à deux facteurs comme une couche de sécurité supplémentaire pour vos comptes en ligne. Si vous n’utilisez pas 2FA sur un compte, votre processus de connexion implique la saisie de votre nom d’utilisateur et de votre mot de passe, et c’est tout. L’authentification à deux facteurs ajoute une étape supplémentaire à ce processus. Tout d’abord, vous entrerez votre nom d’utilisateur et votre mot de passe, puis il vous sera demandé d’entrer un code d’accès à usage unique (parfois également appelé OTP) qui est généralement un numéro de 6 à 8 chiffres. Vous obtenez ce numéro, qui change toutes les 30 à 60 secondes, via une application ou un SMS.
Une fois que vous avez entré ce code, ce n’est qu’alors que vous avez accès à votre compte.
En effet, un méchant potentiel aurait besoin de connaître votre nom d’utilisateur, votre mot de passe et aurait pris le relais ton téléphone numéro ou un accès physique à votre téléphone et à l’application d’authentification de votre choix pour vous connecter au site Web de votre banque ou à votre compte de messagerie.
L’utilisation d’un gestionnaire de mots de passe est le moyen le plus simple d’augmenter la sécurité sans augmenter la charge pour vous-même. F
1Mot de passe
N’utilisez pas de SMS pour récupérer vos codes. Utilisez plutôt une application
Lorsque l’authentification à deux facteurs a commencé à être déployée sur divers sites Web et services, presque tous ne prenaient en charge que l’envoi de votre mot de passe à usage unique par SMS. Et bien que ce soit un moyen pratique et facile de recevoir vos codes, c’est aussi très peu sûr en raison de Fraude à l’échange de carte SIM.
Pour ceux qui ne sont pas familiers, la fraude par échange de carte SIM se produit lorsque quelqu’un appelle votre opérateur sans fil en se faisant passer pour vous et convainc l’employé de changer la carte SIM liée à votre numéro de téléphone. Tous les appels et messages texte entrants étant désormais acheminés vers le téléphone du méchant, il peut se connecter à n’importe quel compte en ligne qui a fait partie de toute sorte de violation de données ou de piratage.
Les piratages comme la récente violation de T-Mobile ne comportaient pas seulement suffisamment d’informations personnelles sur un client pour que quiconque puisse se faire passer pour vous lorsqu’il appelle le service client, le piratage incluait également les codes PIN que les clients ont ajoutés en tant qu’étape de sécurité supplémentaire.
Vous voyez à quelle vitesse les choses peuvent devenir incontrôlables si vous recevez, par exemple, les codes 2FA de votre banque par SMS ?
Si possible, utilisez une application d’authentification comme Authentificateur Google ou un gestionnaire de mots de passe pour stocker vos codes temporaires 2FA.
J’utilise un gestionnaire de mots de passe pour créer et stocker tous les mots de passe de mon compte, ainsi que mes mots de passe à usage unique. L’application me permet non seulement de savoir quand un nouveau service prend en charge l’authentification à deux facteurs, mais elle copie/colle également le code lorsque je me connecte à une application ou à un site Web, ce qui rend l’ensemble du processus d’utilisation de 2FA indolore.
En plus d’être plus sécurisée, une application ne nécessite pas de connexion Internet active pour vous montrer le code actuel attribué à votre compte. Cela signifie que si vous voyagez et que vous prenez l’avion, vous pouvez toujours accéder à votre code, ce que vous ne pouvez pas faire si vous devez le recevoir par SMS.
À bien des égards, l’utilisation de l’authentification à deux facteurs revient à disposer d’un cadenas à combinaison en constante évolution comme dernier niveau de sécurité pour vos comptes.
James Martin/CNET
Mais l’authentification à deux facteurs semble être une corvée !
Vous avez raison, dans une certaine mesure, 2FA est un problème. Mais cela pourrait être pire. La partie la plus longue du processus d’authentification à deux facteurs consiste à le configurer pour tous les comptes en ligne dont vous disposez et qui le prennent en charge. Après cela, attendre un code via la messagerie texte ou utiliser une application pour accéder au code est un jeu d’enfant et vous vous adapterez rapidement à votre routine habituelle.
Je n’aime pas particulièrement utiliser l’authentification à deux facteurs, en particulier sur mon Pomme compte parce qu’il envoie une alerte à chaque appareil que je possède, mais je le fais parce qu’il protège mes données personnelles et mes informations financières. Si quelqu’un accédait à mes comptes, il pourrait rapidement faire des ravages dans ma vie personnelle et professionnelle, et il faudrait des semaines, voire des mois, pour tout remettre en place.
Ne me croyez pas ? Lire cette histoire du site sœur de CNET, ZDNet. Le contributeur mobile Matthew Miller a fait échanger sa carte SIM T-Mobile, et l’auteur a ensuite rapidement supprimé l’intégralité de son compte Google, utilisé 25 000 $ de son compte bancaire pour acheter du bitcoin et l’a bloqué hors de son compte Twitter – et ce n’était que dans le premier heure environ.
Ce petit inconvénient contribuera grandement à vous éviter des tracas encore plus importants.
Lorsque vous activez l’authentification à deux facteurs, assurez-vous de prendre note de vos codes de récupération.
Matt Elliott/CNET
Ne négligez pas l’enregistrement de vos codes de récupération
Lorsque vous suivez le processus de configuration de l’authentification à deux facteurs, vous serez invité à enregistrer un code de récupération (ou une série de codes de récupération). NE PASSEZ PAS CETTE ÉTAPE.
Ce code de récupération est ce que vous utiliserez pour revenir dans votre compte si quelque chose se produit et que vous perdez l’accès à vos codes d’authentification à deux facteurs. Ce n’est pas quelque chose que des entreprises comme Apple prennent à la légère. Sans ce code, votre compte est comme fermé, et avec lui toutes les données qu’il contient.
Hypothétiquement, disons que vos codes 2FA arrivent par SMS. Après une soirée amusante avec des amis, vous réalisez que votre téléphone n’est plus là, et avec lui, l’accès à vos codes OTP. Et la seule façon de vous connecter à votre compte bancaire ou à votre opérateur est soit avec un mot de passe à usage unique, à moins que vous n’ayez un code de récupération.
Croyez-moi, en tant que personne qui a dû utiliser un code de récupération une fois ou deux, vous remercierez à l’avenir de vous présenter pour avoir enregistré votre code de récupération.
Je suggère d’enregistrer tout ce qui concerne la récupération dans un gestionnaire de mots de passe et prendre une capture d’écran du code que vous pouvez stocker dans un endroit sécurisé ; même si cela signifie l’imprimer et le conserver dans un fichier.
Regarde ça:
Dans un monde de mauvais mots de passe, une clé de sécurité pourrait être…
4:11
Instructions pour l’authentification à deux facteurs sur les sites Web et services populaires
Voici les liens soit directement vers la page de paramètres de compte appropriée pour configurer 2FA, soit vers la page d’assistance appropriée détaillant comment activer l’authentification à deux facteurs pour les entreprises et les sites Web populaires. Si une entreprise ne figure pas dans la liste ci-dessous, je vous recommande de rechercher le nom de l’entreprise avec deux facteurs dans la requête (par exemple, « Facebook deux facteurs »).
La liste, comme vous pouvez le voir, peut devenir très longue, très facilement. Le site Web 2fa.répertoire dispose d’une base de données consultable avec des liens directs vers la page d’assistance appropriée pour de nombreux sites Web. Tu devrais aussi prendre des mesures pour protéger vos informations personnelles, et voici ce que vous pouvez faire pour limiter les chances de subir vous-même une fraude au swap SIM.
