SSO et 2FA (identification à 2 facteurs)

SSO = “Single Sign On” et 2FA = “2 Factors Authentication”

Comment mettre en place un mot de passe “fort” et un accès sécurisé à nos services “en ligne” (SaaS)

Pour faciliter la gestion de nos mots de passe, le plus simple est de réutiliser l’identifiant et le mot de passe de l’un de nos services en ligne existant, pour le réutiliser pour les autres services. C’est cela le “Single Sign On” (SSO), via un mécanisme de transport de l’identification, qui évite d’exposer notre mot de passe aux sites qui réutilisent cette identification principale. Mais assurez-vous de ne jamais divulguer votre mot de passe sur une page web qui n’est pas issue du site de votre identifiant (Google, Facebook ou autres), même si vous activez l’option 2FA ci-après, cela reste une erreur dangereuse. Nous ne devons pas “donner” notre mot de passe, à d’autres.

Si nous saisissons le même mot de passe sur plusieurs sites, il suffit d’un piratage d’un seul de ces sites, pour compromettre tous les autres, et devoir changer ce même mot de passe, sur tous les autres sites (au moins ceux qui sont sensibles), avant que ne le fasse les Cyberdélinquants, à votre place… Et ils disposent de leurs Botnets pour faire cela, plus vite et plus efficacement...

Sur de nombreux sites de services en ligne (SaaS), pour éviter de devoir recréer un nouveau mot de passe avec votre email comme identifiant, il est proposé d’utiliser l’un des acteurs suivants :

• Facebook
• Google
• Twitter
• LinkedIn
• Microsoft
• (non exhaustif)

C’est cool, mais vous fournissez à celui-ci toutes vos habitudes et vos choix de services (Profilage…).

2FA

Ces opérateurs proposent en plus d’activer une double identification (2FA), afin d’utiliser votre téléphone comme clef d’accès supplémentaire à votre mot de passe, via l’envoi d’un code unique par SMS (texto). C’est important déjà à la base pour protéger vos échanges et préserver vos contacts, d’activer cette option 2FA. Mais dans un usage SSO, cela devient indispensable !

Authenticator (de Google)

Il existe parfois une application mobile (Google authenticator, Microsoft, Facebook, …), pour économiser sur les SMS, qui permet au téléphone de faire office de calculette de sécurité, style e-banking.

Mais je trouve plus pertinent de ne pas dépendre d’une application supplémentaire, surtout car nous recevons généralement plus facilement les SMS (via ligne téléphonique) que la connexion “data”, surtout quand on voyage à l’étranger…

Si vous êtes sur la Suisse romande: Passez nous voir pour vous faire aider lors de l’un de nos http://intergen.ch, et pour les entreprises: info@ICT-a.ch.

Voir aussi:

Sign Up | LinkedIn

Mais le 2FA ou MFA, n’est pas nécessairement une solution aboutie et sans risques !

Mais c’est mieux que sans !

The FBI Warns That Multifactor Authentication Is Not as Secure as You Think

Voir aussi, mais aussi en anglais: de Bill Hess (PixelPrivacy.com)

Two-Factor Authentication: What Is It and Why You Should Use It - Pixel Privacy