Voici tout ce qui arrive sur Netflix cette semaine – LifeSavvy
20 juillet 2020
Anciens jeux vidéo: quels sont les meilleurs modèles en 2020?
20 juillet 2020

Le signe Microsoft devant le siège de l'entreprise.
Photos VDB / Shutterstock

L'authentification à deux facteurs (2FA) est la méthode la plus efficace pour empêcher tout accès non autorisé à un compte en ligne. Besoin de convaincre? Jetez un œil à ces chiffres à couper le souffle de Microsoft.

Les chiffres durs

En février 2020, Microsoft a donné une présentation au Conférence RSA intitulé «Briser les dépendances des mots de passe: les défis du dernier kilomètre chez Microsoft». L'ensemble de la présentation était fascinant si vous souhaitez savoir comment sécuriser les comptes d'utilisateurs. Même si cette pensée engourdit votre esprit, les statistiques et les chiffres présentés étaient incroyables.

Microsoft suit chaque mois plus d'un milliard de comptes actifs, ce qui près d’un huitième de la population mondiale. Ceux-ci génèrent plus de 30 milliards d'événements de connexion mensuels. Chaque connexion à un compte O365 d'entreprise peut générer plusieurs entrées de connexion sur plusieurs applications, ainsi que des événements supplémentaires pour d'autres applications qui utilisent O365 pour la connexion unique.

Si ce nombre semble important, gardez à l'esprit que Microsoft arrête chaque jour 300 millions de tentatives de connexion frauduleuses. Encore une fois, ce n'est pas par an ou par mois, mais 300 millions par jour.

En janvier 2020, 480 000 comptes Microsoft, soit 0,048% de tous les comptes Microsoft, ont été compromis par des attaques par pulvérisation. C'est quand un attaquant exécute un mot de passe commun (comme «Spring2020!») Contre des listes de milliers de comptes, dans l'espoir que certains d'entre eux auront utilisé ce mot de passe commun.

Les sprays ne sont qu'une forme d'attaque; des centaines et des milliers d'autres ont été causés par le bourrage d'informations d'identification. Pour les perpétuer, l'attaquant achète des noms d'utilisateur et des mots de passe sur le dark web et les essaie sur d'autres systèmes.

Ensuite, il y a le phishing, c'est-à-dire lorsqu'un attaquant vous convainc de vous connecter à un faux site Web pour obtenir votre mot de passe. Ces méthodes sont la façon dont les comptes en ligne sont généralement «piratés», dans le langage courant.

Au total, plus d'un million de comptes Microsoft ont été piratés en janvier. Cela représente un peu plus de 32 000 comptes compromis par jour, ce qui semble mauvais tant que vous ne vous souvenez pas des 300 millions de tentatives de connexion frauduleuses arrêtées par jour.

Mais le nombre le plus important de tous est que 99,9% de toutes les violations de compte Microsoft auraient été arrêtées si les comptes avaient une authentification à deux facteurs activée.

EN RELATION: Que devez-vous faire si vous recevez un e-mail de phishing?

Qu'est-ce que l'authentification à deux facteurs?

Pour rappel, l'authentification à deux facteurs (2FA) nécessite une méthode supplémentaire pour authentifier votre compte plutôt qu'un simple nom d'utilisateur et mot de passe. Cette méthode supplémentaire est souvent un code à six chiffres envoyé sur votre téléphone par SMS ou généré par une application. Vous tapez ensuite ce code à six chiffres dans le cadre de la procédure de connexion pour votre compte.

L'authentification à deux facteurs est un type d'authentification multifacteur (MFA). Il existe également d'autres méthodes MFA, notamment des jetons USB physiques que vous branchez à votre appareil ou des analyses biométriques de votre empreinte digitale ou de votre œil. Cependant, un code envoyé sur votre téléphone est de loin le plus courant.

Cependant, l'authentification multifactorielle est un terme large – un compte très sécurisé peut nécessiter trois facteurs au lieu de deux, par exemple.

EN RELATION: Qu'est-ce que l'authentification à deux facteurs et pourquoi en ai-je besoin?

Est-ce que 2FA aurait mis fin aux violations?

Dans les attaques par pulvérisation et le bourrage d'informations d'identification, les attaquants ont déjà un mot de passe – il leur suffit de trouver les comptes qui l'utilisent. Avec le phishing, les attaquants ont à la fois votre mot de passe et votre nom de compte, ce qui est encore pire.

Si les comptes Microsoft qui avaient été piratés en janvier avaient activé l'authentification multifactorielle, le simple fait d'avoir le mot de passe n'aurait pas suffi. Le pirate informatique aurait également eu besoin d'accéder aux téléphones de ses victimes pour obtenir le code MFA avant de pouvoir se connecter à ces comptes. Sans le téléphone, l'attaquant n'aurait pas pu accéder à ces comptes et ils n'auraient pas été violés.

Si vous pensez que votre mot de passe est impossible à deviner et que vous ne serez jamais victime d’une attaque de phishing, plongeons dans les faits. Selon Alex Weinart, architecte principal chez Microsoft, votre mot de passe réellement peu importe lorsqu'il s'agit de sécuriser votre compte.

Cela ne s'applique pas seulement aux comptes Microsoft non plus – chaque compte en ligne est tout aussi vulnérable s'il n'utilise pas MFA. Selon Google, MFA a arrêté 100% d'attaques de robots automatisées (attaques par pulvérisation, bourrage d'informations d'identification et méthodes automatisées similaires).

Si vous regardez en bas à gauche du tableau de recherche de Google, la méthode "Clé de sécurité" a été efficace à 100% pour arrêter les bot automatisés, le phishing et les attaques ciblées.

Google

Alors, quelle est la méthode «Security Key»? Il utilise une application sur votre téléphone pour générer un code MFA.

Bien que la méthode "SMS Code" soit également très efficace – et c'est absolument mieux que de ne pas avoir d'authentification multifacteur du tout – une application est encore meilleure. Nous recommandons Authy, car il est gratuit, facile à utiliser et puissant.

EN RELATION: L'authentification SMS à deux facteurs n'est pas parfaite, mais vous devez toujours l'utiliser

Comment activer 2FA pour tous vos comptes

Vous pouvez activer 2FA ou un autre type de MFA pour la plupart des comptes en ligne. Vous trouverez le paramètre à différents emplacements pour différents comptes. En règle générale, cependant, il se trouve dans le menu des paramètres du compte sous "Compte" ou "Sécurité".

Heureusement, nous avons des guides qui expliquent comment activer l'authentification multifacteur pour certains des sites Web et des applications les plus populaires:

MFA est le moyen le plus efficace de sécuriser vos comptes en ligne. Si vous ne l'avez pas encore fait, prenez le temps de l'activer dès que possible, en particulier pour les comptes critiques, comme les e-mails et les services bancaires.

//]]>