• Home
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
    •  science >> Science >  >> Électronique
    La réception d'un code de connexion par SMS et e-mail n'est pas sécurisée. Voici ce qu'il faut utiliser à la place

    Aucune méthode n'est parfaite, mais les clés de sécurité physiques sont une forme fiable d'authentification multifacteur. Crédit :Shutterstock

    En matière de cybersécurité personnelle, vous pourriez penser que vous vous en sortez bien. Peut-être avez-vous configuré l'authentification multifacteur sur votre téléphone afin que vous deviez entrer un code qui vous a été envoyé par SMS avant de pouvoir vous connecter à votre e-mail ou à votre compte bancaire à partir d'un nouvel appareil.

    Ce que vous ne réalisez peut-être pas, c'est que de nouvelles arnaques ont fait une authentification à l'aide d'un code envoyé par SMS, e-mails ou appels vocaux moins sécurisés qu'auparavant.

    L'authentification multifacteur est répertoriée dans le modèle de maturité des huit essentiels de l'Australian Cyber ​​Security Centre en tant que mesure de sécurité recommandée pour les entreprises afin de réduire leur risque de cyberattaque.

    Le mois dernier, dans une liste mise à jour, authentification par SMS, e-mails ou appels vocaux a été déclassé, indiquant qu'ils ne sont plus considérés comme optimaux pour la sécurité.

    Voici ce que vous devriez faire à la place.

    Qu'est-ce que l'authentification multifacteur ?

    Chaque fois que nous nous connectons à une application ou à un appareil, on nous demande généralement une forme de contrôle d'identité. C'est souvent quelque chose que nous connaissons (comme un mot de passe), mais cela peut aussi être quelque chose que nous avons (comme une clé de sécurité ou une carte d'accès) ou quelque chose que nous sommes (comme une empreinte digitale).

    Le dernier d'entre eux est souvent préféré parce que, tandis que vous pouvez oublier un mot de passe ou une carte, votre signature biométrique est toujours avec vous.

    L'authentification multifacteur se produit lorsque plus d'un contrôle d'identité est effectué via différents canaux. Par exemple, il est courant de nos jours de saisir votre mot de passe, et un code d'authentification supplémentaire que vous devez entrer est envoyé à votre téléphone par SMS, e-mail ou messagerie vocale.

    Beaucoup de services, comme les banques, proposent déjà cette fonctionnalité. Vous recevez un code « à usage unique » sur votre téléphone afin de confirmer l'autorisation d'effectuer une transaction.

    C'est bien parce que :

    • il utilise deux canaux séparés
    • le code est généré aléatoirement, donc ça ne se devine pas
    • le code a une durée de vie limitée

    Comment cela pourrait-il mal tourner ?

    Supposons qu'un cybercriminel ait volé votre téléphone, mais vous l'avez verrouillé par empreinte digitale. Si le criminel veut compromettre votre compte bancaire et tente de se connecter, votre banque envoie un code d'authentification sur votre téléphone.

    Selon la configuration des paramètres de votre téléphone, le code pourrait apparaître sur l'écran de votre téléphone, même quand il est encore verrouillé. Le criminel pourrait alors saisir le code et accéder à votre compte bancaire. Notez que les paramètres « ne pas déranger » sur votre téléphone ne vous aideront pas car le message apparaît toujours, quoique tranquillement. Afin d'éviter ce problème, vous devez désactiver complètement les aperçus des messages dans les paramètres de votre téléphone.

    Un hack plus élaboré implique "l'échange de SIM". Si un criminel a certaines de vos données d'identité, ils pourraient être en mesure de convaincre votre opérateur téléphonique qu'ils sont vous et de demander qu'une nouvelle carte SIM associée à votre numéro de téléphone leur soit envoyée. De cette façon, à chaque fois qu'un code d'authentification est envoyé depuis l'un de vos comptes, il ira au pirate à la place de vous.

    C'est arrivé à un journaliste technologique aux États-Unis il y a quelques années, qui a décrit l'expérience :« Vers 21 heures le mardi, Le 22 août, un pirate a échangé sa propre carte SIM avec la mienne, probablement en appelant T-Mobile. Cette, à son tour, désactiver les services réseau sur mon téléphone et, quelques instants plus tard, autorisé le pirate à modifier la plupart de mes mots de passe Gmail, mon mot de passe Facebook, et texte en mon nom. Toutes les notifications à deux facteurs sont allées, par défaut, à mon numéro de téléphone, donc je n'en ai reçu aucun et au bout de deux minutes environ, j'ai été exclu de ma vie numérique."

    Ensuite, il y a la question de savoir si vous souhaitez fournir votre numéro de téléphone au service que vous utilisez. Facebook a été critiqué ces derniers jours pour avoir demandé aux utilisateurs de fournir leur numéro de téléphone pour sécuriser leurs comptes, mais permettant ensuite aux autres de rechercher leur profil via leur numéro de téléphone. Ils auraient également utilisé des numéros de téléphone pour cibler les utilisateurs avec des publicités.

    Cela ne veut pas dire que le fractionnement des contrôles d'identité est une mauvaise chose, c'est juste que l'envoi d'une partie d'un contrôle d'identité via un canal moins sécurisé favorise un faux sentiment de sécurité qui pourrait être pire que l'absence de sécurité du tout.

    L'authentification multifacteur est importante – tant que vous la faites via les bons canaux.

    Quelles combinaisons d'authentification sont les meilleures ?

    Considérons quelques combinaisons d'authentification multifacteur qui ont des degrés variables de facilité d'utilisation et de sécurité.

    Un premier choix évident est quelque chose que vous connaissez et quelque chose que vous avez, dire un mot de passe et une carte d'accès physique. Un cybercriminel doit obtenir les deux pour se faire passer pour vous. Pas impossible, mais difficile.

    Une autre combinaison est un mot de passe et une empreinte vocale. Un système de reconnaissance d'empreintes vocales vous enregistre lorsque vous prononcez une phrase secrète particulière, puis fait correspondre votre voix lorsque vous devez authentifier votre identité. C'est attrayant parce que vous ne pouvez pas laisser votre voix à la maison ou dans la voiture.

    Mais votre voix pourrait-elle être forgée ? A l'aide d'un logiciel numérique, il pourrait être possible de prendre un enregistrement existant de votre voix, décompressez-le et réorganisez-le pour produire la phrase requise. C'est un peu difficile, mais pas impossible.

    Une troisième combinaison est une carte et une empreinte vocale. Ce choix supprime le besoin de mémoriser un mot de passe, qui pourrait être volé, et tant que vous gardez le jeton physique (la carte ou la clé) en sécurité, il est très difficile pour quelqu'un d'autre de se faire passer pour vous.

    Il n'y a pas encore de solutions parfaites et l'utilisation de la version d'authentification la plus sécurisée dépend de son offre par le service que vous utilisez, comme votre banque.

    La cybersécurité consiste à gérer les risques, Ainsi, la combinaison d'authentification multifacteur qui convient à vos besoins dépend de l'équilibre que vous acceptez entre convivialité et sécurité.

    Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.




    Électronique
    Science
    Science
  • Chimie
  • Astronomie
  • Énergie
  • La nature
  • Biologie
  • Physique
  • Électronique
  • Géologie
  • Éclipse solaireen
  • Mathen
  • Autres
  • Nanotechnologie
    • Électronique
    Science
    © Science https://fr.scienceaq.com