Comment fonctionne l’authentification à double facteur ?

Nous n’avons plus besoin d’expliquer le fonctionnement des méthodes de connexion par mot de passe. Un email, un mot de passe et vous êtes connecté à votre site internet préféré. Il s’agit ici du facteur de connaissance.

A présent, pour la sécurité de notre compte et en fonction du site internet, le 2FA peut être activé pour ajouter un couche de protection à notre compte. On appellera ici le facteur de possession, un périphérique physique pour confirmer appartenance d’un compte.

Dans le détails du fonctionnement, nous rentrons les identifiants de connexion, puis vous serrez redirigé vers une seconde page en vous demandant de confirmer votre identité via la facteur de possession. On peut retrouver ces méthodes de confirmation:

  • Code par SMS
  • Google Authenticator
  • Clé U2F

Le facteur de possession est-il vraiment plus sécurisé au point de supprimer les mots de passe ?

Nous aurons tendance à dire oui, sur le papier ce facteur permet de régler la problématique de stocker ses mots de passe dans un coffre-fort ou de devoir retenir tous ses mots de passe (nous vous rappelons de ne pas utiliser le même mot de passe sur différents site internet). Une simple confirmation sur téléphone ou brancher une clé USB pour se connecter en guise de laisser-passer. Le problème vient surtout lorsqu’un appareil est inutilisable ou volé. On se retrouve dans le cas où nous n’avons plus accès à nos différents compte, ce qui donne le cas de figure où on doit avoir un stock de téléphones ou de clés U2F, donc une solution un peu honéreuse, voire pire: le détenteur pourrait très bien utiliser un crawler et tester notre appareil (ou clé) sur chaque page de connexion croisées. Mais d’un point de vue sécurité, rajouter des murs permet de renforcer la sécurisation de compte.

En conclusion ?

Partir en croisade avec simplement une épée, c’est bien, partir avec une targe en plus c’est mieux pour sa survie: le facteur de possession permet de combler les lacunes des facteurs de connaissance. On peut donc utiliser le facteur de possession uniquement mais comme expliqué ci-dessus, omettre les mots de passe retire une barrière de protection à l’accès au compte cible.