Les services en ligne ont plusieurs options pour améliorer la seule protection fournie par les mots de passe afin de sécuriser davantage les comptes. Pensez à cinq sites web sur lesquels vous avez un compte utilisateur. Combien d’entre eux vous offrent une plus grande sécurité avec l’authentification à deux ou multi facteurs (MFA ou 2FA) ?
L’adoption du 2FA se fait lentement, mais un rapport publié cette semaine suggère que de nombreux sites sont vraiment à la traîne.
Dashlane, l’entreprise éditant un gestionnaire de mots de passe, a examiné 34 des sites web grand public parmi les plus populaires aux États-Unis, afin de déterminer dans quelle mesure ils adoptaient le MFA.
Il a donné à chaque site une note sur cinq, en fonction de plusieurs critères.
Ils ont obtenu un point s’ils offraient une authentification par SMS ou par email. Ils en ont obtenu un autre pour l’utilisation de jetons logiciels tels que Google Authenticator. Dashlane considère clairement l’authentification matérielle comme plus efficace étant donné qu’il a attribué trois points aux sites web offrant cette option. Il s’agit de cartes ou de clés matérielles, telles que Yubikey ou Titan de Google, qui doivent être connectées à l’ordinateur ou au moins présentes à côté de celui-ci pour authentifier l’utilisateur. L’authentification U2F (Universal Second Factor) de FIDO Alliance est un bon exemple de norme prenant en charge les jetons matériels pour l’accès aux services en ligne.
La bonne nouvelle est que la plupart des sites testés offraient une forme de 2FA. Le réseau social de voisinage NextDoor, l’entreprise de mise en relation de travailleurs indépendants avec la demande locale TaskRabbit, le service de réservation en ligne de rendez-vous médicaux ZocDoc et le détaillant Best Buy figuraient sur la liste noire des sites avec aucun point. Ils n’offraient aucune des trois catégories de 2FA, obligeant les utilisateurs à se fier uniquement aux mots de passe.
Selon Dashlane, seulement un quart des sites testés (24%) ont obtenu la note maximale en proposant toute la gamme d’options. Bank of America, Dropbox, E*TRADE, Facebook, Google, Stripe, Twitter et Wells Fargo ont marqué cinq points chacun et figuraient sur la liste des bons élèves !
Un bon nombre des acteurs testés, et qui se sont retrouvés mal classés, font partie du secteur des services financiers ou fintech. Mint, qui regroupe vos données de compte financier, la société de paiement électronique Venmo et les acteurs des services financiers tels que Discover, Citibank, Chase et American Express, s’appuient uniquement sur une authentification par email ou par SMS, a indiqué le rapport. Pourtant, le NIST a déconseillé d’utiliser désormais le 2FA basé sur SMS en 2016 et les utilisateurs qui utilisent le 2FA basé sur les emails sont vulnérables vis-à-vis du phishing.
Dashlane a également déclaré que la clarté était un problème sur de nombreux sites web. Le CEO Emmanuel Schalit a déclaré :
Lors de notre étude, nous avons constaté que les informations sur le 2FA sont souvent présentées de manière peu claire, empêchant ainsi les consommateurs d’utiliser réellement les offres 2FA. En fait, nos experts ont été contraints d’exclure un grand nombre de sites web populaires de nos tests, simplement parce que ces derniers ne fournissaient aucune information directe ou facilement accessible sur leurs offres 2FA.
Le rapport Dashlane s’est concentré uniquement sur les navigateurs de bureau et n’incluait pas, dans son évaluation, l’accès via des applications mobiles.
Aussi hétérogène que soit l’adoption du 2FA, ce n’est pas le seul problème. En effet, comme l’ont révélé des recherches récentes menées par Google et d’autres partenaires, la plupart d’entre nous n’utilisent pas le 2FA, même lorsqu’il est disponible !
Billet inspiré de Report reveals one-dimensional support for two-factor authentication, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.