SSO et 2FA (identification à 2 facteurs)

SSO = “Single Sign On” et 2FA = “2 Factors Authentication”

Comment mettre en place un mot de passe “fort” et un accès sécurisé à nos services “en ligne” (SaaS)

Pour faciliter la gestion de nos mots de passe, le plus simple est de réutiliser l’identifiant et le mot de passe de l’un de nos sites, pour tous les autres services. C’est cela le “Single Sign On” (SSO), via un mécanisme de transport de l’identification, qui évite d’exposer notre mot de passe aux sites qui réutilisent cette identification principale. Mais assurez-vous de ne jamais divulguer votre mot de passe sur une page web qui n’est pas issue du site de votre identifiant (Google, Facebook ou autres), même si vous activez l’option 2FA ci-après, cela reste une erreur dangereuse. Nous ne devons pas “donner” notre mot de passe, à d’autres.

Si nous saisissons le même mot de passe sur plusieurs sites, il suffit d’un piratage d’un seul de ces sites, pour compromettre tous les autres, et devoir changer ce même mot de passe, sur tous les autres sites (au moins ceux qui sont sensibles), avant que ne le fasse les Cyberdélinquants, à votre place… Et ils disposent de leurs Botnets pour faire cela, plus vite et plus efficacement...

Sur de nombreux sites de services en ligne (SaaS), pour éviter de devoir recréer un nouveau mot de passe avec votre email comme identifiant, il est proposé d’utiliser l’un des acteurs suivants :

  • Facebook
  • Google
  • Twitter
  • LinkedIn
  • Microsoft
  • (non exhaustif)

C’est cool, mais vous fournissez à celui-ci toutes vos habitudes et vos choix de services (Profilage…).

2FA

Ces opérateurs proposent en plus d’activer une double identification (2FA), afin d’utiliser votre téléphone comme clef d’accès supplémentaire à votre mot de passe, via l’envoi d’un code unique par SMS (texto). C’est important déjà à la base pour protéger vos échanges et préserver vos contacts, d’activer cette option 2FA. Mais dans un usage SSO, cela devient indispensable !

Authenticator (de Google)

Il existe parfois une application mobile (Google authenticator, Microsoft, Facebook, …), pour économiser sur les SMS, qui permet au téléphone de faire office de calculette de sécurité, style e-banking.

Mais je trouve plus pertinent de ne pas dépendre d’une application supplémentaire, surtout car nous recevons généralement plus facilement les SMS (via ligne téléphonique) que la connexion “data”, surtout quand on voyage à l’étranger…

Si vous êtes sur la Suisse romande: Passez nous voir pour vous faire aider lors de l’un de nos http://intergen.digital, et pour les entreprises: info@ICT-a.ch.