Ne pas utiliser la validation en 2 étapes par SMS ou VoIP : c’est faillible. (Google, Yahoo, Achat en ligne, Steam…)
Préférer les systèmes cryptés : application dédiée (Authenticator de google)
ou par système vocal téléphonique (donc pas IP).
▻http://www.lemonde.fr/pixels/article/2016/07/29/une-agence-americaine-deconseille-le-recours-a-l-authentification-en-deux-et
De nombreux réseaux sociaux – Facebook, Google, Twitter – et entreprises y recourent pour sécuriser des opérations importantes (connexion à un compte, validation d’un paiement en ligne…) mais, à en croire l’Institut national américain des normes et de la technologie (NIST), l’authentification en deux étapes par SMS serait en réalité dangereuse pour les utilisateurs.
Le principe de ce système est très simple : au moment de valider son achat ou d’authentifier son compte, l’utilisateur ou l’utilisatrice concerné(e) reçoit un SMS contenant un code à usage unique. Une fois cette série de chiffres saisie sur la page demandée, l’opération est finalisée. Mais le processus n’est pas infaillible : le NIST souligne que des pirates ayant préalablement installé un logiciel malveillant sur le téléphone peuvent rediriger l’envoi du SMS vers un autre smartphone. Ils risquent aussi de réussir à lire le texto en question si le code est communiqué par le biais de systèmes tels que la VoIP (la diffusion de voix par Internet à la place d’un réseau téléphonique).
Dans son guide de conduite pour l’authentification en ligne, l’agence fédérale préconise donc l’envoi des fameux codes au sein d’une application sécurisée, comme le fait déjà Google avec son outil Authenticator : pour se connecter à son compte, il faut non seulement saisir son mot de passe habituel mais également le code temporaire généré directement dans l’application.