Introduction
Aujourd’hui j’aimerais parler un peu de sécurité et plus précisément du 2FA.
On entend par 2FA l’authentification à double facteur. Celle-ci ajoute une couche de sécurité supplémentaire afin d’empêcher que votre compte soit compromis. Lors de chaque connexion, en plus de votre mot de passe, un codé à 6 chiffres vous sera demandé. Il provient d’une application sur votre téléphone ou bien d’un autre appareil d’authentification. Ce mot de passe change toutes les 30 secondes (si je ne dis pas de bêtises).
Ce mode d’authentification est implémenté dans de plus en plus de services et c’est pourquoi je vais vous présenter Authy, une alternative à Google Authenticator et Microsoft Authenticator.
Authy
En comparaison à ses concurrents les plus connus, il possède de nombreux avantages :
Pour commencer, il est multi support : Android, iOS, Windows, Linux et Mac. Ce qui n’est pas le cas notamment de Google Authenticator…
Il est évidemment possible de synchroniser entre les supports.
Autre point important, lorsque vous créez un backup dans le cloud de vos différents comptes, ils sont cryptés par un mot de passe que vous avez défini. Personnellement, j’ai choisi de générer un mot de passe sécurisé via Sticky Password.
Les sauvegardes sont exécutées en plusieurs étapes :
Nous vous demandons de saisir un mot de passe. Les mots de passe doivent comporter 6 caractères, mais nous vous recommandons de viser au moins 8 caractères.
Votre mot de passe est ensuite "salted" et soumis à une fonction de dérivation de clé appelée PBKDF2, qui signifie Password-Based Key Derivation Function 2. PBKDF2 est un algorithme d'étirement de la clé utilisé pour hacher les mots de passe de telle sorte que les attaques par force brute soient moins efficaces. Les détails de cette opération sont très importants : Nous utilisons un algorithme de hachage sécurisé qui est l'une des fonctions de hachage les plus puissantes disponibles. Il s'agit d'une fonction unidirectionnelle - elle ne peut pas être décryptée en retour et c'est l'une des fonctions de hachage les plus puissantes disponibles. Nous utilisons 1000 tours. Ce nombre augmentera au fur et à mesure que la puissance du processeur du téléphone Android bas de gamme augmentera.https://authy.com/blog/how-the-authy-two-factor-backups-work/
En utilisant la clé dérivée, chaque clé d'authentification est chiffrée avec la norme de chiffrement avancé AES-256, en mode Cipher Block Chaining (CBC) avec un vecteur d'initialisation (IV) différent pour chaque compte. Pour que chaque message soit unique, un IV doit être utilisé dans le premier bloc. Si l'une des clés de l'authentificateur est de 128 bits ou moins, nous la capitalisons en utilisant le PKCS#5. Seuls le résultat crypté, le sel et l'IV sont envoyés à Authy. La clé de cryptage/décryptage n'est jamais transmise.
C’est assez pratique dans le cas ou vous perdez votre smartphone, vous pouvez installer l’application Authy, vérifier votre identité et accéder à tous vos tokens Authy de manière relativement simple par rapport à la solution de Google.
Commencez par installer Authy sur votre nouvel appareil.
Ensuite, utilisez Authy pour confirmer que vous êtes le propriétaire du compte d'origine. Vous devez utiliser le numéro de téléphone et l'indicatif de pays d'origine que vous avez utilisés lors de votre inscription initiale à Authy. Vous recevrez une notification OneCode sur un autre appareil (SMS ou voix) et vous devrez entrer cette valeur avant la synchronisation de vos clés.https://authy.com/blog/how-the-authy-two-factor-backups-work/
Une fois vos clés synchronisées, vous devrez fournir votre mot de passe de sauvegarde pour décrypter vos clés. Notez que les clés Authy sur ce nouvel appareil utilisent une valeur d'amorçage TOTP différente, les codes fournis seront donc différents sur chaque appareil.
Contrairement à Google Authenticator, vous pouvez créer un code PIN d’accès à l’application ainsi qu’une authentification biométrique.
Pour l’installer, rien de plus simple, rendez-vous à cette adresse :
Ensuite, on s’inscrit avec un numéro de portable, il sera le lien pour récupérer votre compte sur un autre smartphone. On crée un code PIN, l’authentification biométrique si vous le souhaitez et un password pour le backup.
Enfin, on ajoute les comptes soit via QR code, soit en entrant manuellement le code fourni par le site où vous désirez activer le 2FA.
Il y a également une grosse quantité du tutoriels sur leur site pour différents sites connus :
