Clés de sécurité Phishing employé neutralisé - Krebs sur la sécurité

Clés de sécurité Phishing employé neutralisé - Krebs sur la sécurité

Google Depuis début 2017, aucun de ses 85 000 employés et plus n'a piraté avec succès ses comptes liés au travail, en exigeant que tous les employés utilisent des clés de sécurité physiques à la place des mots de passe et des codes uniques, a indiqué KrebsOnSecurity.

Une clé de sécurité YubiKey faite par Yubico. Le modèle de base présenté ici coûte 20 $.

Les clés de sécurité sont des périphériques USB peu coûteux qui offrent une approche alternative à l'authentification à deux facteurs (2FA), qui oblige l'utilisateur à se connecter à un site Web à l'aide de quelque chose qu'il connaît (le mot de passe). dispositif).

Un porte-parole de Google a déclaré que les clés de sécurité constituent désormais la base de tous les accès à Google.

«Nous n'avons eu aucune prise de contrôle de compte signalée ou confirmée depuis la mise en œuvre des clés de sécurité chez Google», a déclaré le porte-parole. "Les utilisateurs peuvent être invités à s'authentifier en utilisant leur clé de sécurité pour de nombreuses applications / raisons différentes. Tout dépend de la sensibilité de l'application et du risque de l'utilisateur à ce moment-là. "

L'idée de base derrière l'authentification à deux facteurs est que même si les voleurs parviennent à hameçonner ou à voler votre mot de passe, ils ne peuvent toujours pas se connecter à votre compte, sauf s'ils piratent ou possèdent ce second facteur.

Les formes les plus courantes de 2FA exigent que l'utilisateur ajoute un mot de passe avec un code unique envoyé à son appareil mobile via un message texte ou une application. En effet, avant 2017, les employés de Google comptaient également sur des codes uniques générés par une application mobile – Google Authenticator.

En revanche, une clé de sécurité met en œuvre une forme d'authentification multi-facteurs appelée 2e facteur universel (U2F), ce qui permet à l'utilisateur de terminer le processus de connexion simplement en insérant le périphérique USB et en appuyant sur un bouton de l'appareil. La clé fonctionne sans avoir besoin de pilotes logiciels spéciaux.

Une fois qu'un appareil est inscrit pour un site Web spécifique qui prend en charge les clés de sécurité, l'utilisateur n'a plus besoin d'entrer son mot de passe sur ce site (sauf s'il tente d'accéder au même compte à partir d'un autre appareil). insérez leur clé).

U2F est une norme émergente d'authentification open source, et à ce titre seule une poignée de sites de haut niveau le supportent, y compris Dropbox, Facebook, Github (et bien sûr les différents services de Google). La plupart des principaux gestionnaires de mots de passe prennent également en charge U2F, notamment Dashlane, Keepass et LastPass. Sécurité Duo [full disclosure: an advertiser on this site] peut également être configuré pour fonctionner avec U2F.

Avec un peu de chance, d'autres sites vont bientôt commencer à intégrer l'API Web Authentication – également connue sous le nom de «WebAuthn» – une norme mise de l'avant par le World Wide Web Consortium en collaboration avec l'Alliance FIDO. La beauté de WebAuthn est qu'il élimine la nécessité pour les utilisateurs de taper constamment leurs mots de passe, ce qui élimine la menace des méthodes courantes de vol de mot de passe comme le phishing et les attaques de type man-in-the-middle.

Actuellement, U2F est supporté par Chrome, Mozilla Firefox et Opéra. Dans Firefox et Quantum (la version plus récente et plus rapide de Firefox), U2F n'est pas activé par défaut. Pour l'activer, tapez "about: config" dans la barre du navigateur, tapez ou collez "security.webauth.u2f" et double-cliquez sur l'entrée résultante pour changer la valeur de la préférence de "false" à "true".

Microsoft dit qu'il s'attend à déployer des mises à jour de son navire amiral Bord navigateur pour soutenir U2F plus tard cette année. Selon un article récent sur 9to5Mac.com, Pomme n'a pas encore dit quand ou si elle soutiendra la norme dans son Safari navigateur.

Probablement le fabricant le plus populaire de clés de sécurité est Yubico, qui vend une clé U2F de base pour 20 $ (il offre des versions USB normales ainsi que celles faites pour les appareils qui nécessitent des connexions USB-C, tels que les plus récents d'Apple Mac OS systèmes). Yubikey vend également des clés U2F plus chères conçues pour fonctionner avec des appareils mobiles.

Si un site que vous fréquentez ne supporte pas encore WebAuthn, pensez à renforcer votre connexion avec un autre formulaire de 2FA. Des centaines de sites prennent désormais en charge l'authentification multifacteur. Twofactorauth.org maintient probablement la liste la plus complète des sites supportant 2FA, indexant chacun par type de site (email, jeu, finance, etc.) et le type de 2FA offert (SMS, appel téléphonique, jeton logiciel, etc.).

En règle générale, l'utilisation de SMS et d'appels téléphoniques automatisés pour recevoir un jeton ponctuel est moins sûre que de se fier à une application de jeton logiciel telle que Google Authenticator ou Authy. En effet, les voleurs peuvent intercepter ce code ponctuel en incitant votre fournisseur de services mobiles à échanger la carte SIM de votre appareil mobile ou à «transférer» votre numéro de mobile vers un autre appareil. cependant, Si les seules options 2FA offertes par un site que vous fréquentez sont des SMS et / ou des appels téléphoniques, c'est toujours mieux que de simplement se fier à un mot de passe.

Alors que nous sommes sur le sujet de l'authentification multi-facteurs, je dois noter que Google offre maintenant un ensemble supplémentaire de mesures de sécurité pour toutes ses propriétés appelées Advanced Protection. Exactement comment fonctionne la protection avancée de Google (et les compromis impliqués dans l'activation) fera probablement l'objet d'une autre histoire ici, mais Wired.com récemment publié un décent décent à ce sujet. Incidemment, cet article inclut un guide étape par étape sur la façon d'incorporer des clés de sécurité dans la protection avancée.

J'utilise Advanced Protection depuis plusieurs mois maintenant sans aucun problème majeur, bien qu'il m'ait fallu quelques essais pour le configurer correctement. Un aspect frustrant de l'avoir allumé est qu'il ne permet pas d'utiliser des applications de messagerie tierces comme Mozilla Thunderbird ou Outlook. J'ai trouvé cela frustrant car, pour autant que je sache, il n'y a pas de solution intégrée dans Gmail pour le cryptage des e-mails PGP / OpenGPG, et certains lecteurs préfèrent partager des astuces de cette manière. Auparavant, j'avais utilisé Thunderbird avec un plugin appelé Enigmail pour le faire.

Mots clés: 2FA, Chrome, Dashlane, Dropbox, Sécurité Duo, Edge, Facebook, FIDO Alliance, Firefox, Firefox Quantum, GitHub, Google Protection avancée, Keepass, lastpass, microsoft, opéra, safari, clés de sécurité, U2F, Web Authentication API, WebAuthn, Consortium World Wide Web, Yubikey

Cette entrée a été signalée le lundi 23 juillet 2018 à 07:34 sous la catégorie Outils de sécurité.
Vous pouvez suivre les commentaires sur cette entrée via le flux RSS 2.0.

Vous pouvez passer à la fin et laisser un commentaire. Ping n'est actuellement pas autorisé.

Leave a comment

Send a Comment

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.