L’authentification à deux facteurs (2FA) a pris une raclée ces derniers temps comme étant une mesure de sécurité moins qu’idéale. Une partie du problème est que certains codes 2FA sont envoyés par SMS, qui peuvent être interceptés.
Dans certains cas (comme de nombreuses institutions bancaires), le système 2FA ne permet pas l’interaction avec des apps comme Authy ou le Google Authenticator. Au lieu de cela, ils insistent pour vous envoyer les codes 2FA par SMS. Pour les personnes les plus soucieuses de sécurité, ce n’est pas vraiment une option. En fait, pour certaines personnes, même l’utilisation des applications mobiles n’est pas la meilleure idée. Surtout lorsque vous avez affaire à un compte associé à votre entreprise.
Heureusement, certains services proposent des codes de sauvegarde 2FA qui peuvent être utilisés comme option analogique. Google est l’un de ces services. Lorsque vous configurez 2FA pour Google, vous avez la possibilité d’imprimer sept codes de secours qui peuvent être utilisés en cas d’urgence. Ces codes fonctionnent et, lorsque vous en êtes à court, vous pouvez toujours en générer d’autres.
Vous pouvez déjà voir où je veux en venir.
SE : Politique de gestion des mots de passe (Tech Pro Research)
Dans certains cas, je fais en sorte que Google configure mon navigateur comme sûr, de sorte que je n’ai pas à saisir un code 2FA à chaque fois que je me connecte. Ce n’est que lorsque je suis loin de mon bureau ou que je configure une nouvelle machine que j’ai besoin d’un code. Si je me sens plutôt paranoïaque, j’utilise un de ces codes d’urgence 2FA. Lorsque je n’en ai plus, j’en génère d’autres. C’est aussi simple que cela.
Mais comment faire ? Simple. Découvrons-le.
Comment récupérer ces codes
Si vous n’avez pas imprimé ces codes, dès la configuration de 2FA, la première chose à faire est de les récupérer. Pour ce faire, vous devez vous connecter à votre compte Google, puis vous rendre sur le site Google 2FA, où vous serez invité à vous connecter une nouvelle fois. Une fois l’authentification réussie, vous verrez une entrée pour les codes de sauvegarde. Cliquez sur le bouton SHOW CODES (figure A).
Figure A
Une pop-up apparaîtra, répertoriant vos codes d’urgence 2FA. Vous pouvez ensuite les télécharger (sous forme de fichier .txt) ou les imprimer directement. La liste ne vous montrera également que les codes que vous n’avez pas utilisés (car les autres seront répertoriés comme déjà utilisés). Pratique.
Mot de prudence
Pour ceux qui optent pour le téléchargement du fichier .txt, je vous suggère de le faire, puis de chiffrer ce fichier. Ne le laissez pas traîner, sans protection, sur votre disque local pour que des yeux indiscrets puissent y jeter un coup d’œil. Ce fichier contient également l’adresse Gmail associée au compte. Je vous recommande vivement de supprimer cette ligne du fichier (au cas où quelqu’un tomberait sur le fichier et réussirait à l’ouvrir). La dernière chose que vous voulez, c’est qu’un mauvais acteur puisse facilement faire le rapprochement entre deux et deux et réaliser que ces codes sont associés à cette adresse. Il y a aussi une ligne qui ressemble à ceci:
Need more? Visit https://g.co/2sv
Je recommande de supprimer cette ligne, car elle pourrait donner le secret de ce à quoi servent ces codes. Une fois que vous avez supprimé ces lignes, enregistrez et fermez le fichier. Cryptez-le, et vos codes auront moins de chances d’être vus par des yeux indiscrets.
Comment générer de nouveaux codes
Surprise ! Dans cette même fenêtre contextuelle, vous verrez un bouton intitulé GET NEW CODES (figure B). Cliquez sur ce bouton et sept nouveaux codes seront générés.
Figure B
Voici un conseil. N’utilisez que six de ces codes, et considérez le septième comme votre clé pour obtenir d’autres codes. Cela est particulièrement vrai si vous choisissez de ne pas utiliser d’application mobile pour Google 2FA. Vous ne voulez pas vous retrouver sans cette dernière clé, afin de pouvoir vous connecter et en générer d’autres.
Pas une solution parfaite
Le 2FA n’est pas une solution parfaite. Mais si vous pouvez éviter d’utiliser des sites et des services qui envoient des codes 2FA par SMS (et si ces sites en question commençaient à prendre en charge les applications mobiles 2FA), vous serez moins susceptible de vous faire voler vos codes et de les utiliser contre vous. Malgré tout, vous pouvez envisager de n’utiliser que ces codes Google pour l’authentification 2FA. Utilisez-les à bon escient et comprenez qu’en matière de sécurité, rien n’est jamais à 100%.
Voir aussi
- Déplacer Google Authenticator d’un appareil Android à un autre (TechRepublic)
- Les comptes Firefox obtiennent la sécurité 2FA : Vous pouvez utiliser les codes à usage unique de Google Authenticator (ZDNet)
- Comment configurer l’authentification à deux facteurs sous Linux (TechRepublic)
- Recherche de stratégies de cybersécurité : Common tactics, issues with implementation, and effectiveness (Tech Pro Research)
- How to set up two-factor authentication on CentOS 7 (TechRepublic)
- How to get users on board with two-factor authentication (TechRepublic)