L’authentification à double facteur (2FA) est extrêmement utile pour éviter de se faire pirater ses comptes. Cela permet, si votre mot de passe fuite ou bien que vous vous le faites voler lors d’un hammeçonnage réussi, qu’il ne serve à rien au pirate.
La plupart du temps, la 2FA est implémentée à l’air d’un QR code représentant une clé TOTP (Time-based One Time Password), partagée entre le service et vous-même. Une application permet ensuite de générer des codes à six chiffres. Différentes applications existent, la plus connue est Google Authenticator ; Microsoft en fait une aussi, ainsi que RedHat, et il existe même une petite appli en ligne de commande sous Linux, oathtool.
Dans la plupart des cas nous installons ça sur notre smartphone, outil qu’on a en permanence dans la poche. Lorsqu’on change de téléphone, il est possible d’exporter les différents comptes pour les importer sur le nouveau.
Mais comment éviter de se retrouver coincé·e partout si/quand notre smartphone meurt d’une mort violente ou disparaît subitement ? Cela m’est déjà arrivé et c’est, selon les sites, entre « très chiant » et « impossible » de récupérer une connexion fonctionnelle.
Certains sites proposent des « codes de récupération », je trouve ça peu pratique et peu sûr. La technique que je préfère est d’enregistrer l’image du QRCode au moment de la mise en place de la 2FA sur un support sécurisé, dans mon cas, une clé USB chiffrée qui ne quitte pas mon porte-clés.
Vous pouvez aussi enregistrer la clé qui est souvent présentée à côté du QRcode, et, au moins sous linux, regénérer un QRCode avec une commande, mais c’est un peu moins pratique.
Dans tous les cas, l’important est de sauvegarder l’information de manière sécurisée.
- Si vous êtes sous Linux vous pouvez utiliser LUKS: Créer une clé USB chiffrée via LUKS avec cryptsetup
- Si vous êtes sous Windows, vous pouvez utiliser BitLocker ou Veracrypt, par exemple
- Si vous êtes sous MacOS X, vous pouvez suivre ces informations
C’est, comme pour les sauvegardes, quelque chose de pas très marrant à mettre en place, mais il est important de le mettre en place, ou à minima d’y réfléchir, avant d’en avoir besoin.
@Colin sur Google Auth, c'est impossible de prendre une capture d'écran, du coup faut prendre une photo avec un autre appareil ? par contre, effectivement j'ai oublié de sécuriser cette photo ?Sinon, je suis en train de migrer sur Authy, et apparemment y a un backup automatique (MDP dans KeePass), donc problème résolu ?
Ah oui effectivement. Je n’avais pas pensé à ça car en général j’installe un 2FA via un ordinateur, du coup je clique droit et enregistre le png sur l’ordinateur.