IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Google annonce qu'il va activer par défaut l'authentification à deux facteurs pour tous ses utilisateurs
Afin d'accroître la sécurité des comptes

Le , par Stéphane le calme

48PARTAGES

12  0 
Google s'efforce de pousser tous ses utilisateurs à commencer à utiliser l'authentification à deux facteurs (2FA), qui peut empêcher les attaquants de prendre le contrôle de leurs comptes en utilisant des informations d'identification compromises ou en devinant leurs mots de passe. À l’occasion de la journée mondiale du mot de passe, Google a annoncé que l’activation automatique de la double authentification allait être mise en place prochainement pour tous les utilisateurs. Mark Risher, Director of Product Management, Identity and User Security chez Google, a indiqué :

« Vous ne le réalisez peut-être pas, mais les mots de passe sont la plus grande menace pour votre sécurité en ligne: ils sont faciles à voler, ils sont difficiles à retenir et leur gestion est fastidieuse. Beaucoup de gens pensent qu'un mot de passe doit être aussi long et compliqué que possible – mais dans de nombreux cas, cela peut en fait augmenter le risque de sécurité. Les mots de passe compliqués incitent les utilisateurs à les utiliser pour plus d'un compte; en fait, 66% des Américains admettent utiliser le même mot de passe sur plusieurs sites, ce qui rend tous ces comptes vulnérables si l'un d'entre eux tombe.

« En 2020, les recherches sur "quelle est la force de mon mot de passe" ont augmenté de 300%. Malheureusement, même les mots de passe les plus forts peuvent être compromis et utilisés par un attaquant – c'est pourquoi nous avons investi dans des contrôles de sécurité qui vous empêchent d'utiliser des mots de passe faibles ou compromis ».

Cette décision d'activer automatiquement l'authentification à deux facteurs vise à accroître la sécurité des comptes utilisateurs Google en supprimant la « menace la plus importante » qui facilite le piratage : des mots de passe difficiles à retenir et, pire encore, faciles à voler. Selon Mark Risher, l'un des meilleurs moyens de protéger votre compte contre un mot de passe piraté ou incorrect consiste à mettre en place une deuxième forme de vérification – une autre façon pour votre compte de confirmer qu'il s'agit bien de votre connexion. Il a rappelé que Google le fait depuis des années « en veillant à ce que votre compte Google soit protégé par plusieurs niveaux de vérification ».

Dans le premier pas vers ce processus, l'entreprise demandera aux utilisateurs qui ont déjà activé l'authentification à deux facteurs de confirmer leur identité en appuyant sur une invite Google sur leur smartphone chaque fois qu'ils se connectent : « Bientôt, nous commencerons à activer automatiquement l'authentification à deux facteurs chez les utilisateurs qui ont des comptes correctement configurés. (Vous pouvez vérifier l'état de votre compte dans notre Security Checkup). L'utilisation de leur appareil mobile pour se connecter offre aux utilisateurs une expérience d'authentification plus sûre et plus sécurisée que les mots de passe seuls ».


Pour activer dès maintenant l'authentification à deux facteurs pour votre compte Google, rendez-vous ici et cliquez sur le bouton « Commencer » afin d'ajouter une couche de sécurité supplémentaire.

Une fois que l'authentification à deux facteurs sera activée sur votre compte (configuré pour fonctionner via des codes de message texte / vocal, l'application Google Authenticator ou avec des clés de sécurité), il bloquera les accès non autorisés en créant une couche de défense supplémentaire conçue pour empêcher les tentatives de connexion d'acteurs malveillants. Cela signifie que les attaquants ne pourront pas prendre le contrôle même s'ils parviennent à voler vos informations d'identification à moins qu'ils n'aient également accès à votre appareil pour confirmer leurs tentatives de connexion malveillantes.

Lorsque 2FA est activé, vous serez invité à entrer votre mot de passe, comme d'habitude, à chaque fois que vous vous connectez à votre compte Google. Cependant, vous devrez confirmer votre identité à l'aide d'un code envoyé par SMS, appel vocal ou application mobile. Si vous disposez d'une clé de sécurité, vous pouvez également l'insérer dans le port USB de votre ordinateur pour confirmer que c'est vous qui essayez de vous connecter.

« Nous intégrons également des technologies de sécurité avancées dans les appareils pour rendre cette authentification multifacteur transparente et encore plus sécurisée qu'un mot de passe. Par exemple, nous avons intégré nos clés de sécurité directement sur les appareils Android et lancé notre application Google Smart Lock pour iOS. Les utilisateurs peuvent désormais utiliser leur téléphone comme moyen d'authentification secondaire ».

En janvier 2020, Google a annoncé que les iPhone exécutant iOS 10 ou une version ultérieure pourraient être utilisés comme clés de sécurité pour vérifier les connexions sur les appareils Chrome OS, iOS, macOS et Windows 10 sans association. Auparavant, la société utilisait également la clé de sécurité intégrée aux téléphones Android fonctionnant sous Android 7.0+ (Nougat) et permettait aux utilisateurs iOS de vérifier les connexions aux services Google et Google Cloud à l'aide de téléphones Android configurés comme clés de sécurité.

Le gestionnaire de mots de passe

« Tant que les mots de passe feront partie de votre vie numérique, à travers les applications que vous utilisez et les sites Web auxquels vous accédez, nous continuerons d'innover et de développer de nouveaux produits et technologies qui facilitent leur gestion et surtout sécurisent par défaut.

« Notre gestionnaire de mots de passe, intégré directement à Chrome, Android et maintenant iOS, utilise les dernières technologies de sécurité pour protéger vos mots de passe sur tous les sites et applications que vous utilisez. Cela facilite la création et l'utilisation de mots de passe complexes et uniques, sans qu'il soit nécessaire de les mémoriser ou de les répéter. Chaque fois que vous accédez à un site ou que vous vous connectez à une application tout en étant connecté à votre compte Google, Password Manager peut renseigner automatiquement votre mot de passe sécurisé. Password Manager est également intégré à notre vérification de sécurité Google en un seul clic – qui vous indique si l'un de vos mots de passe a été compromis, si vous réutilisez des mots de passe sur différents sites et la force de vos mots de passe. Nous vous informons également automatiquement si votre mot de passe a été compromis, afin que vous puissiez effectuer une modification rapide et facile pour protéger vos informations.

« Nous avons récemment lancé notre nouvelle fonctionnalité d'importation de mots de passe qui permet aux utilisateurs d'importer facilement jusqu'à 1 000 mots de passe à la fois à partir de divers sites tiers dans notre gestionnaire de mots de passe (gratuitement). En suivant cette étape, vous pouvez vous assurer que tous vos mots de passe sont protégés par notre technologie avancée de sécurité et de confidentialité.

« Des fonctionnalités telles que l'importation de mots de passe, le gestionnaire de mots de passe et la vérification de la sécurité, combinées à des produits d'authentification comme la connexion avec Google, réduisent la propagation des informations d'identification faibles. Tous sont des exemples de la façon dont nous travaillons pour rendre votre expérience en ligne plus sûre et plus simple, pas seulement sur Google, mais sur le Web.

« Un jour, nous espérons que les mots de passe volés appartiendront au passé, car les mots de passe appartiendront au passé, mais d'ici là, Google continuera à vous protéger, vous et vos mots de passe ».

Pour mettre les choses en perspective, Alex Weinert, Group Program Manager for Identity Security and Protection chez Microsoft, a estimé que les utilisateurs qui activent l'authentification multifacteur pour leurs comptes vont bloquer 99,9% des attaques automatisées. La recommandation concerne non seulement les comptes Microsoft, mais également tout autre profil, site Web ou service en ligne. Si le fournisseur de service prend en charge l’authentification multifacteur, Microsoft recommande de l’utiliser, qu’il s’agisse d’un mot de passe aussi simple que des mots de passe à usage unique basés sur SMS ou des solutions biométriques avancées.

Weinert affirme que l'activation d'une solution d'authentification multi-facteur bloque 99,9 % des tentatives de connexion non autorisées, même si les pirates informatiques disposent d'une copie du mot de passe actuel de l'utilisateur. Le 0,1 % représente des attaques plus sophistiquées qui utilisent des solutions techniques pour capturer les jetons MFA, mais ces attaques sont encore très rares.

« Votre mot de passe n’a pas d’importance en dehors du password spray (évitez les mots de passe les plus utilisés) ou de la brute force (utilisez plus de 8 caractères, ou utilisez un gestionnaire de mot de passe si vous êtes vraiment inquiet). Cela ne veut pas dire que votre mot de passe n’est pas mauvais. Il est mauvais, étant donné la probabilité qu’il soit deviné, intercepté, pris via une attaque par hameçonnage ou réutilisé.

« Votre mot de passe importe peu, mais la MFA si ! Sur la base de nos études, votre compte a plus de 99,9% de moins de chances d'être compromis si vous utilisez la MFA ».

Source : Google

Et vous ?

Que pensez-vous de cette décision de Google ?
Que pensez-vous de l'authentification à deux facteurs ? L'utilisez-vous systématiquement lorsqu'elle est disponible ? Si non, quels sont les critères qui peuvent vous pousser à y faire appel (sensibilité des données, deuxième facteur d'authentification, etc.) ?
Disposez-vous d'un compte Google ? Avez-vous activé l'authentification à deux facteurs ? Pourquoi ?

Voir aussi :

Un responsable de l'IA de Google est passé chez Apple, suite au licenciement de ses collègues, il travaillera sous la direction de John Giannandrea, qui a également quitté Google pour Apple
John Justice, le vice-président et responsable des produits Stadia, aurait quitté Google seulement deux mois après que l'entreprise a fermé ses studios internes de développement de jeux
Facebook rejoint AWS, Huawei, Google, Microsoft et Mozilla dans la Fondation Rust, et renforce son équipe Rust par des nouveaux talents

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de massimo16
Nouveau membre du Club https://www.developpez.com
Le 09/05/2021 à 20:25
Ok, question sécurité deux facteurs c'est pas mal... Et si tu n'as pas de smartphone tu fais comment ?
3  0 
Avatar de Armitage1982
Nouveau membre du Club https://www.developpez.com
Le 09/05/2021 à 21:46
Citation Envoyé par massimo16 Voir le message
Ok, question sécurité deux facteurs c'est pas mal... Et si tu n'as pas de smartphone tu fais comment ?
Tu peux installer WinAuth, ça fait bien le taf.
Après, ce n’est pas toujours évident de récupérer la clé par QR-code pour l'entrer sur un PC.

Un autre souci, c'est comment expliquer la double authentification aux plus âgés et pourquoi il faut se réauthentifier tous les 30 jours.
Même moi, j'ai envie de leur dire : parce que « l'on veut garder le contact » vous faire acheter un smartphone et vous compliquer la vie.

Le nombre d'anciens qui ont du passé l'année dernière un nombre d'heures incroyable au téléphone parce qu'ils n'avaient pas d'ordinateur. C'est une sorte d'analphabétisme numérique qui fait peine à voir et en dit long sur les soi-disant services que nous rend la modernité.

Parfois, il me faut plus de temps pour me logger que pour réaliser la tâche désirée... et c'est chiant !
1  0 
Avatar de kain_tn
Membre expert https://www.developpez.com
Le 10/05/2021 à 12:56
Citation Envoyé par smarties Voir le message
C'est mon inquiétude à chaque fois, si je réinitialise mon téléphone ou que je me le faisais voler, ça devient problématique.

Parfois je me dis que je devrais imprimer les QR Codes et/ou les garder aussi quelque part sur un emplacement numérique sécurisé (donc hors ligne)
Tu peux aussi utiliser certains gestionnaires de mots de passe pour gérer ton second facteur d'authentification s'il t'es imposé par un service. Je crois que des trucs comme KeePassXC le gèrent.

Sinon, comme dit par darklinux, tu peux utiliser des clés de sécurité en USB voire même en NFC pour certains modèles:
  • Yubico
  • Solo
  • Token2
  • et il y a de plus en plus de constructeurs: le mot clé pour en trouver sur Internet c'est FIDO key


Il n'y a pas besoin de pilotes car c'est vu comme des claviers USB.
1  0 
Avatar de darklinux
Membre extrêmement actif https://www.developpez.com
Le 10/05/2021 à 0:47
Citation Envoyé par massimo16 Voir le message
Ok, question sécurité deux facteurs c'est pas mal... Et si tu n'as pas de smartphone tu fais comment ?
Il y a des clés USB spécific , cela fonctionne très bien et pas cher
0  0 
Avatar de smarties
Membre éprouvé https://www.developpez.com
Le 10/05/2021 à 8:57
Citation Envoyé par massimo16 Voir le message
Ok, question sécurité deux facteurs c'est pas mal... Et si tu n'as pas de smartphone tu fais comment ?
C'est mon inquiétude à chaque fois, si je réinitialise mon téléphone ou que je me le faisais voler, ça devient problématique.

Parfois je me dis que je devrais imprimer les QR Codes et/ou les garder aussi quelque part sur un emplacement numérique sécurisé (donc hors ligne)
0  0 
Avatar de tanaka59
Expert confirmé https://www.developpez.com
Le 11/05/2021 à 18:26
Bonsoir,

Que pensez-vous de cette décision de Google ?
Je trouve l'imposition trop contraignante ... Il existe des alternatives et on n'en parle pas ... Pourtant toutes simple ! Quid des alias On peut créer des alias qui permettent d’émettre et de recevoir du courrier ... sans avoir a se soucier car on ne peut pas se connecter avec ... A moins que la fai/provider se face lui même piraté ... On a quand même de la marge

Que pensez-vous de l'authentification à deux facteurs ?
C'est une barrière supplémentaire ... Faillible car un accès malveillant à un terminal volé ou qui est lui même piraté ... ne sert plus à rien.

L'utilisez-vous systématiquement lorsqu'elle est disponible ?
Sur certains services très sensible (santé, finance, banque, impôt ...) , c'est même devenu la norme .

Disposez-vous d'un compte Google ?
Oui

Avez-vous activé l'authentification à deux facteurs ?


Non

Pourquoi ?
C'est un compte poubelle donc , je me fout pas mal de savoir ce qu'on y balance ... Le pirate aura juste de la merde en boite
0  1