2FA: le sauveteur du compte

L'authentification a deux facteurs ajoute un controle apres le mot de passe. Si le mot de passe est vole, l'attaquant doit encore passer le second facteur. Activez-la sur banque, email, Apple ID, compte Google, Facebook et WhatsApp. L'email passe en premier car il reinitialise beaucoup d'autres comptes. Le NCSC montre qu'un service apparemment mineur peut devenir dangereux quand mot de passe et verification sont voles ensemble.

Les codes SMS aident, mais peuvent etre contournes par SIM swap. Quelqu'un peut transferer votre numero vers une autre SIM ou eSIM et recevoir vos codes. La Police postale cite ce risque quand un telephone ne peut plus appeler ou recevoir. Si un service n'offre que SMS, utilisez-le. Pour les comptes importants, preferez app ou cle materielle.

Google Authenticator et Microsoft Authenticator generent des codes sur le telephone sans SMS. C'est bien pour email, reseaux, cloud et travail. Les cles FIDO2 comme YubiKey ou Solo Key sont plus fortes car elles resistent mieux au phishing: un faux domaine obtient difficilement l'accord. Gardez une cle de secours dans un lieu sur.

Les codes de secours sont la sortie d'urgence si vous perdez telephone ou cle. Imprimez-les ou ecrivez-les sur papier et gardez-les en lieu protege. Ne les gardez pas seulement sur le meme telephone. Ne donnez jamais un code 2FA ou de secours par telephone. Le FBI avertit que de faux supports financiers cherchent les codes MFA ou OTP.