Microsoft veut que vous arrêtiez d’obtenir des codes 2FA par téléphone
C'est toujours une bonne idée de protéger vos comptes avec une sorte d'authentification à 2 facteurs (2FA), mais toutes les méthodes ne sont pas égales. Alors que les SMS et les appels téléphoniques 2FA existent depuis longtemps, Microsoft dit qu'il est grand temps de raccrocher et de passer à de meilleures technologies.
Qu'a dit Microsoft à propos de SMS 2FA?
Alex Weinert, directeur de la sécurité d'identité chez Microsoft, a publié un message sur le site Web de la communauté technique . Il discute de l'état actuel des méthodes d'authentification multifacteur et des raisons pour lesquelles le texte et la voix 2FA ne sont pas aussi puissants qu'ils l'étaient autrefois.
Premièrement, le 2FA basé sur un téléphone ne peut pas s'adapter aux attaques ainsi qu'aux autres technologies. Si un pirate informatique trouve un moyen d'exploiter les SMS ou les appels téléphoniques, vous ne pouvez pas vraiment ajuster le fonctionnement de ces technologies pour les protéger.
En plus de cela, les appels téléphoniques et les SMS ne peuvent pas être chiffrés sans une application spéciale. Si un pirate parvient à puiser dans vos appels ou vos messages, il peut obtenir toutes les informations dont il a besoin avec très peu d'effort supplémentaire.
L'obtention d'un appel téléphonique ou d'un SMS dépend également en grande partie de la qualité de votre réseau mobile. Si vous êtes dans une zone où le service est irrégulier, il peut être difficile de recevoir le code.
Pire encore, les messages SMS sont "feu et oublient", ce qui signifie que l'expéditeur n'a aucun moyen de voir si ses messages arrivent sur le téléphone du client. Il envoie simplement le message texte et espère que le client l'a bien compris.
Pour couronner le tout, 2FA par téléphone utilise un système de support client pour le sauvegarder. Les personnes travaillant au support client peuvent être trompées ou contraintes par des pirates pour autoriser l'accès au téléphone 2FA, leur accordant ainsi l'accès.
Alex Weinert déclare qu'il ne veut pas se montrer comme s'il n'aimait pas 2FA. Il pense que c'est un élément essentiel de la sécurité en ligne de n'importe qui. C'est juste que la 2FA qui repose sur les services téléphoniques est imparfaite et que des alternatives plus solides devraient être utilisées.
Les méthodes 2FA basées sur le téléphone sont-elles vraiment obsolètes?
Alex fait un point fantastique avec son message. Lorsque 2FA a commencé à faire des vagues sur Internet, la certification par téléphone était l'un des moyens les plus simples et les plus rapides de sécuriser son compte.
De nos jours, cependant, les SMS et les appels téléphoniques ne sont plus aussi bons qu'avant. D'une part, l'email 2FA est simple et efficace, car vous pouvez sécuriser un compte de messagerie avec un mot de passe fort et utiliser un service de messagerie crypté pour protéger vos messages.
Non seulement cela, mais il existe des applications et des services qui génèrent des codes 2FA pour vous. Il n'est pas nécessaire de vous en envoyer un; ouvrez simplement l'application et voyez quel est le code actuel, et vous êtes prêt à partir. Ces applications peuvent être davantage sécurisées à l'aide de la biométrie ou de codes d'accès.
En substance, Alex a frappé le clou sur la tête. Bien que la 2FA soit importante, les SMS et les appels téléphoniques font partie des méthodes les plus faibles et les moins pratiques pour atteindre cet objectif.
Rendre le 2FA encore plus fort
Bien que la 2FA soit importante, Microsoft estime qu'il existe de meilleures façons de protéger votre compte que d'utiliser les SMS et les appels téléphoniques. Alors que la technologie 2FA continue de se développer, la réception d'un code par texte peut devenir un passé perdu depuis longtemps.
Bien sûr, Microsoft n'a pas été le premier à avoir cette idée. Il existe de nombreuses raisons d'arrêter d'utiliser SMS 2FA et d'adopter des technologies telles que les clés U2F.
Crédit d'image: vladwel / Shutterstock.com