J’ai remué un peu le nid du frelon cette semaine lorsque j’ai suggéré que les gens passent de Google Authenticator à une autre application d’authentification à deux facteurs sur Android. J’ai recommandé Authy, mais c’est uniquement parce que je l’utilise et le trouve incroyablement pratique. Non seulement cela vous interdit (et d’autres applications) d’en prendre des captures d’écran, mais j’apprécie la sécurité de vérification supplémentaire intégrée à Authy (et les options dont vous disposez pour maintenir la sécurité de vos clés 2FA même lorsque vous utilisez des fonctionnalités plus controversées, comme sa possibilité de synchroniser rapidement vos clés 2FA avec d’autres appareils que vous possédez).

Mais, honnêtement, il y a aussi plein d’autres excellentes applications 2FA …1Mot de passe me vient à l’esprit, si cela ne vous dérange pas de payer (et vous devriez, si vous n’avez pas encore de gestionnaire de mots de passe). Mieux encore, utilisez un jeton matériel pour tous les comptes que vous pouvez, plutôt que votre smartphone. Peu m’importe ce que vous utilisez; Moi, et bien d’autres, comme Authy, mais vous êtes invités à utiliser l’application d’authentification qui vous convient le mieux.

Se sentir submergé? Vous ne devriez pas l’être, mais cela peut sembler beaucoup à traiter si vous n’êtes pas particulièrement averti avec la technologie ou l’authentification à deux facteurs. En tant que lecteur Lifehacker Jenny écrit:

“Je viens de lire votre article sur les applications 2FA, et j’ai besoin d’un petit conseil, s’il vous plaît, si cela ne vous dérange pas? Je ne suis que semi-technophile et surtout grâce aux gens sympas de Reddit.

Cette semaine, j’ai activé l’authentification par facteur Google 2 pour mon code d’accès Reddit, et je n’ai toujours pas vraiment compris comment cela fonctionne.

Maintenant, vous dites que ce n’est pas sécurisé, et je devrais passer à Authy, non? Comment je fais ça? Si je supprime celui de Google de mon téléphone, cela gâchera-t-il mon code d’accès Reddit? Ou va-t-il automatiquement basculer? Et si je vais sur Authy, puis-je le mettre sur ma tablette pour que, si quelque chose arrive à mon téléphone, je puisse toujours accéder à mes comptes? Et si je passe à Authy, dois-je supprimer celui de Google sur mon téléphone avant ou après avoir téléchargé et allumé l’Authy?

Tout conseil que vous pourriez me donner serait très apprécié!

Passez une merveilleuse journée et merci pour tout le travail que vous avez fait pour nous informer tous ici! »

Passons en revue les bases! Tout d’abord, voici la version simple de la façon dont 2FA protège vos comptes. Vous configurez 2FA sur un site Web ou un service et le liez à une application (dans ce cas). Cette application a un numéro tournant. Lorsque vous vous connectez au site Web ou au service, vous devez ouvrir l’application et fournir ce numéro rotatif pour vérifier que vous êtes bien vous et non un pirate informatique qui a mis la main sur votre identifiant et votre mot de passe. La protection vient de l’idée que même si vos informations d’identification peuvent être facilement volées de diverses manières, les chances sont très faibles, sinon infinitésimales, qu’un attaquant pourra également deviner (ou forcer par la force) ce numéro spécial qui change approximativement. toutes les 30 secondes environ.

Ceci est légèrement différent que lorsqu’un site Web ou un service vous envoie un SMS que vous devez ensuite saisir pendant le processus de connexion. Ceci est connu sous le nom de vérification en deux étapes, et bien que ce soit mieux que rien, il est moins sécurisé que 2FA car il est plus facile pour un attaquant de permuter SIM ou autrement de communiquer votre numéro de téléphone – intercepter vos messages, y compris ces demandes de connexion, et avoir un journée sur le terrain. Il est beaucoup plus difficile pour un attaquant d’obtenir le contrôle physique de l’appareil que vous utilisez pour l’authentification à deux facteurs, d’où la préférence de ce dernier.

Maintenant, à votre question. Honnêtement, vous allez probablement bien si vous vous en tenez à Google Authenticator, car il vaut mieux que de ne pas utiliser du tout une application à deux facteurs. Tant que vous ne téléchargez pas de logiciels malveillants ou d’applications aléatoires sur votre appareil, souvent la même chose, peu importe que Google Authenticator autorise les captures d’écran (à partir du moment où j’ai écrit cela).

Si vous voulez être super sûr, vous pouvez attendre ou passer à une autre application d’authentification, comme Authy. Voici comment je procéderais avec Reddit:

Utilisez Google Authenticator pour vous connecter à Reddit comme vous le feriez normalement Désactivez temporairement l’authentification à deux facteurs Capture d’écran: David Murphy Réactivez-la et configurez-la avec Authy au lieu de Google Authenticator

C’est ça. Vous devrez répéter ce processus pour chaque site ou service où vous avez activé 2FA et que vous l’avez associé à Google Authenticator. C’est un processus ennuyeux, mais cela ne devrait pas prendre très longtemps; et au moins vous avez une liste de tous les sites qui doivent être ajustés, car vous pourrez les voir dans l’application Google.

Une fois que vous avez échangé tous vos comptes vers Authy et pouvez confirmer que vous pouvez vous y connecter en utilisant les codes d’Authy, supprimez Google Authenticator. Cependant, pour partager des codes Authy sur plusieurs appareils, le processus est beaucoup plus simple. Installez l’application Authy sur tout autre appareil que vous souhaitez utiliser pour 2FA. Ensuite, accédez à l’application Authy sur votre appareil d’origine et ouvrez ses paramètres. Appuyez sur «Appareils» en bas et activez «Autoriser plusieurs appareils».

Capture d’écran: David Murphy

Ensuite, connectez-vous à Authy sur votre deuxième appareil en utilisant les informations d’identification qu’il demande – votre numéro de téléphone, je crois, ou le premier appareil. Une fois que vous l’avez configuré et que tous vos codes 2FA sont synchronisés, revenez à votre appareil d’origine et désactivez le paramètre “Autoriser plusieurs appareils”. Le nouvel appareil que vous venez de configurer continuera de fonctionner, mais personne d’autre ne pourra synchroniser votre compte avec un autre appareil jusqu’à ce que vous basculiez à nouveau sur ce commutateur.

Normalement, pour les applications 2FA, vous devez effectuer le processus que j’ai décrit précédemment pour synchroniser un compte avec des applications d’authentification sur plusieurs appareils: vous connecter à vos comptes et désactiver temporairement 2FA, le configurer à nouveau et scanner le code QR fourni ( ou autre) en utilisant l’application d’authentification sur chaque appareil. Sinon, il n’existe généralement pas de moyen d’ajouter simplement un nouvel appareil et de le synchroniser.

Authy est l’exception, qui est également une source de controverse – bien que pratique, cette fonctionnalité permet théoriquement à un attaquant d’accéder plus facilement à toutes vos combinaisons 2FA, si vous ne l’avez pas empêché de le faire en désactivant il. J’aime la commodité, mais je peux voir comment ce serait un point de friction pour les personnes qui souhaitent une expérience d’authentification aussi sécurisée et privée que possible. Si c’est vous, Authy n’est peut-être pas la meilleure solution après tout.

