Je vais transmettre le nouveau 2fa de Google pour les inscriptions sur iPhone et iPad. Voici la raison

Je vais transmettre le nouveau 2fa de Google pour les inscriptions sur iPhone et iPad. Voici la raison

Google

Google étend sa nouvelle authentification à deux facteurs basée sur Android (2fa) pour les utilisateurs qui s'abonnent à des iPhone et des iPad sur des services Google et Google Cloud. Bien que Google mérite le soutien d'essayer de fournir une authentification plus forte à davantage d'utilisateurs, je vais éviter cela en faveur des méthodes 2fa que Google utilise depuis des années. Je vais expliquer plus tard pourquoi. Tout d'abord, quelques informations de base.

Google a annoncé la clé de sécurité intégrée pour Android pour la première fois en avril, lors de la mise en place de la version bêta, et à nouveau en mai, lorsqu'elle est devenue disponible. L'idée est de faire d'Android 7+ le principal appareil 2fa des utilisateurs. Lorsqu'une personne entre un mot de passe valide dans un compte Google, le téléphone affiche un message qui en informe le propriétaire du compte. Les utilisateurs puis appuyez sur "Oui" si la connexion est légitime. S'il s'agit d'une tentative non autorisée, l'utilisateur peut bloquer la connexion.

Le système vise à augmenter la sécurité des comptes de manière significative. Les mots de passe vulnérables aux attaques par phishing ou à d'autres types de vol de données constituent l'une des principales causes de violation de compte. Google est un leader de la protection à deux facteurs, qui nécessite par définition un mot de passe en plus d'un mot de passe pour accéder à un compte.

Les formes les plus puissantes de 2fa disponibles sur Google incluent des clés de sécurité cryptographiques qui se connectent au port USB d'un ordinateur. Ces clés sont basées sur les normes de l’industrie FIDO Alliance. Ils sont extrêmement fiables et difficiles à pêcher. Les versions ultérieures qui utilisaient une communication Bluetooth ou en champ proche économe en énergie fonctionnaient à l'origine avec des appareils Android, mais n'étaient auparavant pas un élément clé pour les utilisateurs d'iOS qui se plaignaient du fait que les appareils n'étaient pas toujours fiables.

Cela a amené Google à rechercher un autre moyen, approuvé par la FIDO, sur lequel les masses peuvent fabriquer 2fa. Et voici la clé intégrée à Android en jeu. Malheureusement, cette méthode présente également des inconvénients importants. Tout d'abord, le téléphone a besoin de Bluetooth et de tous ses problèmes épineux pour communiquer avec le périphérique MacOS, Windows 10 ou Chrome OS auquel l'utilisateur se connecte. Deuxièmement, cela ne fonctionne que si les utilisateurs se connectent à un compte à l'aide du navigateur Google Chrome. Les autres navigateurs et applications sont malchanceux. Un autre inconvénient était que les clés Android n'étaient pas disponibles pour les utilisateurs se connectant à partir d'un appareil iOS.

Mercredi, Google s'attaquera à ce dernier inconvénient en proposant un nouveau moyen de déployer des clés Android pour les utilisateurs d'iPhone et d'iPad. Elle repose sur l'application Google Smart Lock, qui s'exécute sur l'appareil iOS et communique via Bluetooth avec la clé intégrée stockée sur le téléphone ou la tablette Android de l'utilisateur. (L'application, qui utilise également des clés de cryptage basées sur FIDO pour les appareils iOS, a une note utilisateur de seulement 2,2 sur 5.) Google fournit des instructions supplémentaires à ce sujet. Les représentants de la société ont refusé de fournir des interviews pour ce poste.

Merci, mais non merci

J'ai passé environ 90 minutes à créer la méthode entre un iPad mini et un Pixel XL. Je n'ai eu aucun problème à configurer la clé Android intégrée pour authentifier les connexions d'un ordinateur MacOS à un compte Google personnel et à un compte professionnel fourni par G Suite. Malheureusement, je n'ai jamais réussi à faire fonctionner les clés Android lorsque je me suis connecté à l'un des comptes de l'iPad mini. Ce fut une expérience frustrante, mais au moins un progrès. Ron Amadeo, rédacteur en chef d’Ars Reviews, m’a dit qu’il ne pouvait même pas faire fonctionner la partie Android lorsqu’il avait essayé il ya quelques semaines.

Je ne peux pas exclure que l'erreur soit au moins partiellement due à une erreur de l'utilisateur. Mais ce n'est pas la question. Si les personnes d’un site technique ont des problèmes, tante Mildred ou Oncle Frank à Poughkeepsie. Compte tenu des bizarreries de Bluetooth susmentionnées, il semble plausible que nous ne puissions pas utiliser les touches Android intégrées, car les appareils ne pouvaient pas se connecter via ce canal sans fil.

Et n'oublions pas que Google a récemment averti que la version Bluetooth à faible consommation d'énergie de la clé de sécurité Titan vendue pour l'authentification à deux facteurs était utilisée par des attaquants du secteur Bluetooth. À proximité peut être abusé. La vulnérabilité ne signifie pas automatiquement que Bluetooth n'est pas sécurisé, mais cela suggère que le canal peut être moins adapté aux protocoles de sécurité très sensibles que certains ingénieurs le reconnaissent.
Par conséquent, pour le moment, je n'ai pas l'intention d'utiliser les clés Android lorsque je me connecte à Google sur mes appareils iOS. Au lieu de cela, je continue à utiliser la fonctionnalité d'authentification de Duo Mobile (Google Authenticator fonctionne quasiment de la même manière) que je le suis depuis un certain temps. Ce mécanisme n'est pas parfait. Les numéros de jetons uniques sont de courte durée, mais ils peuvent toujours être consultés par des attaquants rapides qui entrent les informations d'identification dans un compte Google réel dès qu'une cible les saisit sur un site de phishing similaire. Ce scénario pourrait expliquer comment des pirates iraniens ont récemment contourné la protection 2fa offerte par Yahoo Mail et Gmail.

Une autre option 2fa pour les utilisateurs iOS est l'invite de commande Google, disponible depuis plus d'un an. Malheureusement, cette protection peut également être abusée par des phishers à action rapide.

Merci à Google pour les efforts que vous avez déployés afin de rendre 2fa plus convivial et accessible à davantage d'utilisateurs. Mais je transmettrai cette dernière offre jusqu'à ce que l'industrie résolve ce gâchis.

Je vais transmettre le nouveau 2fa de Google pour les inscriptions sur iPhone et iPad. Voici la raison
4.9 (98%) 32 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *