1min30 > Dictionnaire du Web (Définitions) > Double authentification
2014
16/Sep

Double authentification

Définition

La double authentification est une fonctionnalité permettant de renforcer  l’accès à un compte utilisateur (Twitter, Facebook, Google, etc.). Elle utilise pour cela un code à usage unique en plus du traditionnel mot de passe.

Fonctionnement

La double authentification fonctionne généralement de la manière suivante :

  • L’utilisateur se connecte avec son nom d’utilisateur et son mot de passe habituel.
  • Le service lui envoie un code, généralement sur son téléphone portable (par SMS). Ce code peut être utilisé systématiquement, ou seulement lorsque l’utilisateur se connecte pour la première fois depuis un emplacement (navigateur, machine ou lieu géographique).
  • L’utilisateur entre le code ainsi reçu.

Fonctionnement de la double authentification avec TwitterIl existe cependant des variations :

  • Le code est parfois ajouté à la suite du mot de passe pour rendre ce dernier systématiquement unique sur le plan informatique.
  • Le code peut être généré par une application de type TOTP (Time-based One-time Password Algorithm) directement sur le téléphone portable de l’utilisateur. Il ne sera donc pas reçu par SMS, mais généré en fonction d’une clé de cryptage et de l’heure de connexion.
Application TOTP pour la double authentification

FreeOTP : exemple d’application TOTP

Pourquoi utiliser la double authentification en plus du mot de passe ?

La protection par mot de passe, bien qu’étant très répandue, reste soumise à de nombreuses menaces. Le mot de passe peut être intercepté lors d’une connexion, il peut être deviné par les hackers, il est vulnérable aux attaques dites “brute force”, et il peut être épié par dessus l’épaule de l’utilisateur. De plus, bien souvent, les utilisateurs étant noyés sous une pléiade de mots de passe à retenir, ils utilisent des patterns simples qu’ils réutilisent d’un site sur l’autre, ce qui facilite la tâche des intrus.La double authentification est une protection efficace contre ces faiblesses : le code étant unique, il ne peut pas être réutilisé, même s’il a été intercepté.

Quand faut-il utiliser la double authentification ?

Idéalement, il faudrait utiliser la double authentification partout. Malheureusement, tous les services web ne proposent pas encore cette fonctionnalité. Il est donc recommandé de l’utiliser partout où elle est disponible, notamment pour sécuriser l’accès à ses comptes Twitter et Facebook. Pour les webmasters, il est indispensable d’utiliser la double authentification pour sécuriser l’accès à son interface d’administration (qu’on doublera d’une alerte systématique par e-mail en cas de connexion).

La double authentification est-elle infaillible ?

Bien que la double authentification pallie à certaines insuffisances des mots de passe, elle ne résout pas tous les problèmes de sécurité. Elle n’empêche pas notamment le piratage par la ruse, par exemple un intrus qui appelle le service client de votre fournisseur de service en se faisant passer pour vous et en affirmant qu’il a perdu son téléphone portable (justifiant l’impossibilité de recevoir le code à usage unique). Il sera alors authentifié sur la base d’informations personnelles, qui seront très simples à trouver dans la plupart des cas, par exemple sur Facebook.Il est donc indispensable, en plus des mécanismes d’authentifications informatiques, de veiller à ne pas divulguer publiquement des informations personnelles exploitables pour revendiquer votre identité.

Gabriel Dabi-Schwebel

Posté par

Ingénieur de formation, j'ai accompagné notamment pour Alcatel, TF1, SFR et Lagardère Active le lanc





Commenter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Abonnez-vous à notre excellente newsletter

Hey ne partez pas si vite !

Contactez-nous
Do NOT follow this link or you will be banned from the site!