Blog
 
"Double authentification", ou "(two-factor authentication" / 2FA

Publiée le : 20/01/2020

OK, il faut parlez français, donc on va parler de "double authentification".
Mais je dois avouer que je préfère le mot anglais "two-factor" authentification".
Le deuxième indique en effet mieux de quoi il s'agit.
Je vous explique pourquoi :

Wikipédia dit que la "double authentification", ou la "vérification en deux étapes" "est une méthode par laquelle un utilisateur peut accéder à une ressource informatique après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification".

Cela devient plus précis quand on utilise la traduction "authentification à facteurs multiples" ou l'"authentification multi-facteurs" (même si dans ce cas cela s'approche ... d'un anglicisme.)

Le but n'est pas d'avoir 2 mots de passe (ou plus) l'un après l'autre : non. Le principe consiste à combiner
- quelque chose que l'on connaît (un mot de passe, un code PIN, une phrase secrète qu'on a mémorisé ou que l'on copie d'un gestionnaire d'un mot de passe
- quelque chose de matériel que l'on détient (une carte magnétique, une clé USB, un smartphone, etc....
Pour que cela augmente la sécurité il faut que les deux soit sur des supports matériels différents.

On peut étendre les 2 premiers à des facteurs supplémentaires :
- quelque chose lié à la personne physique (empreinte digitale, rétinienne, ou tout autre élément biométrique)

Le but est surtout de rendre inefficace les attaques qui essayent de trouver le fameux mot de passe "statique"
- par brute force (on essaye toutes les combinaisons jusqu'à trouver le bon : une question de patience)
- par dictionnaire (au lieu de lettres on utilise des mots communs)
- par interception du clavier (keyloggers) ou logiciel espion
- par écoute du réseau (si le protocole de transfert n'est pas chiffré)
- par hameçonnage / filoutage (en trompant l'utilisateur pour le mener à saisir sagement son mot de passe dans une fausse copie de l'interface)
- par ingénierie sociale (on le demande gentiment, ou par autorité -le faux mail du PDG ou du service informatique-
- et (pourquoi pas) par extorsion, torture, ou peut-être plus probable par chantage.

On regarde demain les différentes technologies que l'on peut utiliser pour une authentification forte par double authentification.

Image : Par Sylvain Maret --- Travail personnel, CC BY-SA 2.5, https://commons.wikimedia.org/w/index.php?curid=1532992
"Authentification forte" : contenu soumis à la licence CC-BY-SA 3.0 (http://creativecommons.org/licenses/by-sa/3.0/deed.fr) Source : Article Authentification forte de Wikipédia en français (http://fr.wikipedia.org/wiki/Authentification_forte).
"Double authentification" : contenu soumis à la licence CC-BY-SA 3.0 (http://creativecommons.org/licenses/by-sa/3.0/deed.fr) Source : Article Double authentification de Wikipédia en français (http://fr.wikipedia.org/wiki/Double_authentification).


Retour à la liste