Depuis quelques années, de nombreux services ont commencé à offrir la double authentification qui ajoute une mesure de sécurité supplémentaire qui requiert un code depuis une application externe, ou un SMS, ou un second mot de passe.
Qu’est-ce que la 2FA ?
La Double-Authentification (en anglais “2 Factors-Auth” ou 2FA) est une méthode de sécurité qui requiert deux moyens différents pour prouver votre identité. Un système 2FA est bien plus sécurisé qu’un mot de passe.
Twitter, Google, LinkedIn et Dropbox, pour ne citer qu’eux offrent ce service comme une option d’extra sécurité.
Les 2 facteurs d’authentifications peuvent dépendre de ceci :
- Quelque chose que vous savez : comme un mot de passe ou la réponse à une question de sécurité ;
- Quelque chose que vous avez : comme un code de sécurité sur votre téléphone mobile ;
- Quelque chose qui vous défini : pas vos émotions, mais plutôt une donnée biométrique comme une empreinte digitale.
Pourquoi devriez-vous l’utiliser ?
Premièrement, c’est un moyen simple d’ajouter une énorme étape de sécurité dans le scénario de connexion de vos membres.
Deuxièmement, la sécurité de votre site est la priorité numéro une non ? Et bien allez y !
Troisièmement, même si vous pensez que votre mot de passe est assez fort, dans le monde connecté que nous connaissons et travaillons aujourd’hui et dans lequel nous faisons du business, le mot de passe est le maillon faible. Au revoir.
Où devriez-vous l’utiliser ?
Idéalement, vous devriez utiliser une double authentification partout où vous stockez des données, ou des comptes qui contiennent des moyens de paiements liés. Cela inclus à minima :
- Vos comptes email
- Tous vos comptes sociaux
- Votre banque
- Compte de paiement (revolut, paypal)
- Compte de shopping (amazon, google play)
- Compte de cloud (dropbox, gdrive)
- Vos comptes de gaming (xbox live)
- …
Malheureusement, tous les services n’offrent pas de 2FA, cependant vous pouvez l’ajouter facilement sur votre site aujourd’hui.
Comment activer la double authentification ?
Vous avez peut-être entendu parler de GetClef.com qui est un très bon plugin et service. Mais dommage car GetClef s’arrête en juin 2017.
Ou peut-être avez-vous entendu parlé de Google Authenticator, mais nous n’aimez peut-être pas les produits Google, et alors ?
Je vous propose alors un nouveau genre de 2FA, un système sans mot de passe. Il s’agit de PasswordLess.
Nous avons intégré ce module de 2FA dans notre plugin SecuPress Pro. Une simple case à cocher et c’est réglé.
Le réglage de PasswordLess dans SecuPress
Maintenant quand vous voulez vous connecter, il suffit d’entrer votre adresse email, vous recevrez un lien unique par lequel vous serez connecté :
Comme vous pouvez le voir, le champ du mot de passe a disparu. Vous pouvez choisir quels sont les rôles affectés si vous le souhaitez que seuls les administrateurs n’aient leur compte plus sécurisé.
Si un utilisateur n’est pas affecté, il devra alors entre son mot de passe en seconde étape, avec l’ancien champ de mot de passe :
L’ancien champ, seul.
La double authentification réside dans le fait que vous devez aussi vous connecter sur votre boite mail.
Conclusion
Pour nous, la Double Authentification PasswordLess est un élément de sécurité indispensable pour votre site WordPress. Même si une 2FA ne signifie pas d’être immunisé contre les attaques, cela rends vos comptes plus résistants contre les attaquants qui devront alors craquer bien plus qu’un simple de mot de passe.
