Google permet aux utilisateurs de sécuriser plus facilement leurs comptes grâce à une authentification multifacteur forte en ajoutant la possibilité de stocker des clés de cryptage sécurisées sous la forme de mots de passe au lieu de dispositifs à jetons physiques.
Programme de protection avancée Google, pied En 2017, elle requiert la forme la plus forte d’authentification multifacteur (MFA). Alors que de nombreuses formes d’authentification multifacteur reposent sur des codes d’accès à usage unique envoyés par SMS ou e-mails ou générés par des applications d’authentification, les comptes inscrits à la Protection Avancée nécessitent une authentification multifacteur basée sur des clés de chiffrement stockées sur un appareil physique sécurisé. Contrairement aux codes d’accès à usage unique, les clés de sécurité stockées sur les appareils physiques sont immunisées contre le phishing d’identifiants et ne peuvent pas être copiées ou reniflées.
Application démocratique
Advanced Protection Program (APP), abréviation de Advanced Protection Program, exige que la clé soit accompagnée d’un mot de passe chaque fois qu’un utilisateur se connecte à un compte sur un nouvel appareil. Ces protections empêchent les types de piratage de comptes qui ont permis à des pirates informatiques soutenus par le Kremlin d’accéder aux comptes Gmail de responsables démocrates en 2016, puis de divulguer des courriels volés pour interférer dans l’élection présidentielle de cette année-là.
Jusqu’à présent, Google exigeait que les utilisateurs disposent de deux clés de sécurité physiques pour s’inscrire à l’application. Désormais, l’entreprise permet aux utilisateurs d’utiliser deux clés d’accès ou une clé d’accès et un code physique. Ceux qui recherchent plus de sécurité peuvent s’inscrire en utilisant autant de clés qu’ils le souhaitent.
« Nous travaillons à élargir le créneau afin que les gens aient plus de choix quant à la manière dont ils s’inscrivent à ce programme », a déclaré à Ars Shuvo Chatterjee, responsable du projet APP. Il a déclaré que cette décision faisait suite aux commentaires reçus par Google de la part de certains utilisateurs qui n’étaient pas en mesure d’acheter des clés physiques ou qui vivaient ou travaillaient dans des zones où les clés n’étaient pas disponibles.
Comme toujours, les utilisateurs doivent toujours disposer de deux clés d’enregistrement pour éviter d’être exclus de leur compte si l’une des clés est perdue ou endommagée. Bien que les interdictions soient toujours un problème, elles peuvent être bien pires pour les utilisateurs de l’application car le processus de récupération est plus strict et prend beaucoup plus de temps que pour les comptes non enregistrés dans le programme.
Passkeys est la création de l’Alliance FIDO, un groupe intersectoriel composé de centaines d’entreprises. Ils sont stockés localement sur un appareil et peuvent également être stockés dans le même type de jeton d’appareil que celui qui stocke les clés MFA. Les clés d’accès ne peuvent pas être extraites de l’appareil et nécessitent soit un code PIN, soit une empreinte digitale ou une analyse faciale. Les clés d’accès fournissent deux facteurs d’authentification : quelque chose que l’utilisateur connaît (le mot de passe de base utilisé lors de la première création de la clé d’accès) et quelque chose que l’utilisateur possède, sous la forme du périphérique qui stocke la clé d’accès.
Bien entendu, les exigences assouplies ne vont pas au-delà, car les utilisateurs doivent toujours disposer de deux appareils. Mais en élargissant les types d’appareils requis, les applications sont devenues plus accessibles, car de nombreuses personnes possèdent déjà un téléphone et un ordinateur, selon Chatterjee.
« Si vous êtes dans un endroit où vous ne pouvez pas obtenir de clés de sécurité, ce sera plus pratique. C’est une étape vers la démocratisation de l’accès à l’information », a-t-il expliqué. [users] Accédez au plus haut niveau de sécurité que Google peut offrir.
Malgré la surveillance accrue impliquée dans le processus de récupération des comptes APP, Google renouvelle sa recommandation aux utilisateurs de fournir un numéro de téléphone et une adresse e-mail en guise de sauvegarde.
« Le mieux que vous puissiez faire est de conserver plusieurs éléments dans vos dossiers, donc si vous perdez votre clé de sécurité ou si la clé se déclenche, vous avez un moyen de revenir sur votre compte », a déclaré Chatterjee. Il n’a pas fourni de détails « secrets » sur le fonctionnement du processus, mais a déclaré qu’il impliquait « des tonnes de signaux que nous examinons pour comprendre ce qui se passe réellement ».
« Même si vous disposez d’un téléphone de récupération, le téléphone de récupération lui-même ne vous donnera pas accès à votre compte », a-t-il déclaré. « Donc, si votre carte SIM est échangée, cela ne signifie pas que quelqu’un peut accéder à votre compte. C’est une combinaison de différents facteurs. C’est la somme de ces facteurs qui vous aidera sur le chemin de la guérison. »
Les utilisateurs de Google peuvent s’inscrire à l’application en visitant ce lien.