Comparez les normes de sécurité U2F et UAF

Comparez les normes de sécurité U2F et UAF

U2F (Universal Second Factor) est une norme de sécurité d'authentification à 2 couches qui utilise du matériel externe supplémentaire (USB, bracelet...) de sorte que le niveau de sécurité sera supérieur à l'envoi de codes par e-mail ou par numéro de téléphone. Aujourd'hui, LuckyTemplates va vous aider à apprendre les bases de cette nouvelle forme de sécurité et à la comparer avec la norme UAF (similaire aux capteurs d'empreintes digitales des appareils Apple et Samsung).

Présentation de l'U2F

La sécurité à 2 niveaux est un moyen simple de vous aider à protéger vos comptes en ligne importants. Il peut s'agir d'un compte de messagerie, d'un compte de stockage cloud, d'un compte bancaire en ligne ou d'un compte permettant de se connecter au site interne de l'entreprise. Normalement, les applications ou services prenant en charge la sécurité à 2 niveaux vous demanderont de vous connecter en suivant les étapes suivantes :

Comparez les normes de sécurité U2F et UAF

  • Ouvrez le site Web/service auquel vous devez vous connecter, saisissez votre nom d'utilisateur et votre mot de passe comme d'habitude
  • Après cela, un code d'authentification vous sera envoyé de différentes manières : cela peut être par SMS, par e-mail, en lisant le code par téléphone ou en utilisant certaines applications spécialisées.
  • Une fois que vous avez le code d'authentification en main, vous continuez à saisir ce code sur le site Web/service pour vous connecter avec succès.

Fondamentalement, la deuxième couche de sécurité empêche tout accès non autorisé à votre compte même si toutes vos informations de connexion ont été révélées. Par exemple, la personne qui dispose de votre nom d'utilisateur et de votre mot de passe pour accéder au site bancaire ne peut pas obtenir le code d'authentification car il est uniquement envoyé sur votre téléphone ou uniquement sur votre email. En conséquence, il sera toujours bloqué en dehors de ce site Web et ne pourra rien faire de plus. Tout au plus, il pourra consulter quelques détails du solde mais ne pourra pas effectuer de transaction de transfert d'argent.

Bien sûr, s’il volait également le téléphone ou savait comment se connecter au compte de messagerie, ce serait une autre histoire. De nos jours, de nombreuses personnes utilisent le même mot de passe de messagerie pour de nombreux sites Web et services en ligne, de sorte que les personnes malveillantes peuvent toujours accéder à la boîte aux lettres et obtenir le code de sécurité à deux niveaux. À ce stade, les avantages du mécanisme de sécurité à 2 niveaux disparaissent complètement.

De même, les téléphones sont également très faciles à voler et à ouvrir des SMS pour voir le code de sécurité à 2 niveaux. Même sans vol, les méchants peuvent toujours voir le code d'authentification envoyé à votre téléphone lorsque la notification apparaît sur l'écran de verrouillage. C'est aussi simple que cela, mais c'est extrêmement dangereux, non ?

U2F est né pour résoudre ces limitations. U2F utilise HARDWARE pour créer des codes d'authentification, vous n'avez donc plus à vous inquiéter si quelqu'un pirate votre boîte aux lettres ou prend votre téléphone. La connexion doit être effectuée en présence de ce matériel, qui ne peut pas être piraté ou cambriolé à distance, réduisant ainsi de nombreux risques. Actuellement, le matériel U2F le plus populaire est le stylo mémoire USB. Il a une taille très compacte et est donc facile à transporter avec vous partout où vous allez. À l’avenir, de plus en plus d’entreprises fabriqueront des appareils U2F sous forme de bagues, colliers, bracelets, clés et des dizaines d’autres choses.

U2F est développé par une alliance appelée FIDO ( Fast IDentity Online ), qui comprend Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America et bien d'autres grandes entreprises. En juin de cette année, la FIDO comptait 200 membres issus de nombreux pays différents. FIDO est actuellement très actif dans la promotion de l'U2F, du matériel aux logiciels, et à l'avenir, il apparaîtra partout.

Principe d'opération

Lorsque vous devez vous connecter à un service en ligne, par exemple Gmail, vous devez toujours saisir votre nom d'utilisateur et votre mot de passe comme d'habitude. À l'étape suivante, il vous sera demandé d'épingler la clé USB compatible U2F sur votre ordinateur. Le navigateur Chrome détecte immédiatement la présence de l'appareil et utilise des technologies de cryptage pour en récupérer les données ( il faudra appuyer sur un bouton de la clé USB ). Chrome continue de confirmer si les données sont correctes ou non, et si tout va bien, vous serez connecté à Gmail.

La raison pour laquelle vous devez toujours saisir votre nom d'utilisateur et votre mot de passe dans la première étape est d'empêcher quelqu'un d'accéder à votre compte simplement en volant la clé. Ce qui est également vrai, car cela fait "2 classes", sinon ce serait la même chose qu'une classe.

Au cours du processus d'authentification des informations Chrome, de nombreuses choses se produisent en réalité pour assurer votre sécurité. Tout d’abord, le navigateur vérifiera s’il communique avec le vrai site Web via le protocole https. Cela permet d’éviter la situation dans laquelle vous utilisez une sécurité à 2 niveaux avec un faux site Web. Ensuite, le navigateur enverra un code extrait de votre clé USB directement au site Web, donc en théorie, un attaquant ne pourra pas obtenir ce code pendant que les données sont en transit.

Selon la configuration de l'U2F, en plus de saisir le mot de passe complet comme d'habitude, les sites Web peuvent également vous offrir la possibilité de saisir un court code PIN, puis d'appuyer sur un bouton du périphérique USB pour continuer à vous connecter. De cette façon, vous pouvez simplifier la mémorisation des mots de passe et gagner plus de temps lors de l'utilisation du service (car vous devez saisir moins de caractères).

Quels sites Web prennent en charge U2F ?

Au moment d’écrire ces lignes, peu de sites Web, services et logiciels disposent d’un support officiel pour U2F. Chrome est actuellement le seul navigateur intégrant U2F et il est disponible sur Windows, Mac, Linux et Chrome OS. Firefox et Edge sont en cours d'intégration mais on ne sait pas quand ils seront terminés. Certains sites Web qui ont utilisé U2F incluent des sites Web de Google, Dropbox et Github. Espérons qu'à l'avenir, nous verrons davantage de sites Web majeurs prendre en charge U2F.

Comparez les normes de sécurité U2F et UAF

Et comme mentionné plus haut, pour utiliser U2F, vous devez utiliser une clé USB spéciale, vous ne pouvez pas immédiatement prendre la clé USB que vous avez en main. Ces lecteurs peuvent être trouvés sur Google, Amazon et vous pouvez utiliser le mot-clé FIDO U2F Security Key pour effectuer une recherche, les prix varient de quelques dollars à des dizaines de dollars. Actuellement, ce type de clé USB n'est pas vendu sur le marché vietnamien.

En supposant que vous ayez déjà acheté une clé USB U2F, vous pouvez accéder à la page de configuration de la sécurité à 2 couches de Google et suivre les instructions Web pour commencer à l'utiliser.

Et l'UAF ?

UAF ( Universal Authentication Framework ) est également une autre norme de connexion développée par FIDO lui-même, mais elle ne nécessite aucun mot de passe. C'est pourquoi l'UAF est également appelé expérience sans mot de passe . L'UAF nécessite une méthode d'authentification qui réside sur l'appareil de l'utilisateur et n'est pas transmise localement. Quelques exemples de méthodes d'authentification locales sont les capteurs d'empreintes digitales, les capteurs d'iris, la reconnaissance faciale et même l'utilisation d'un microphone pour la reconnaissance vocale. Après s'être inscrit au service en ligne, chaque fois que l'utilisateur doit se connecter, il lui suffit de scanner son doigt sur le capteur ou de rapprocher son visage de la caméra.

Vous pouvez imaginer l'UAF de la manière dont Apple utilise le capteur Touch ID pour nous aider à nous connecter à l'App Store, ou de la manière dont Samsung utilise le capteur d'empreintes digitales des Note 4, Note 5, S6, S6 Edge pour vous aider. achats sans saisir de mot de passe. Chaque fois que vous devez vous authentifier, placez simplement votre doigt sur le capteur et tout le reste se fera automatiquement.

Comparez les normes de sécurité U2F et UAF

UAF diffère de la solution d'Apple et de Samsung en ce sens qu'elle est standardisée, de sorte que n'importe quel site Web ou application pourra mettre en œuvre ce type de sécurité rapidement et facilement, sans avoir à le faire à partir de zéro, et même sans dépendre d'une plate-forme ou d'un système d'exploitation. Cela aidera l’UAF à devenir plus attractif et utilisé par davantage de services, ainsi qu’à atteindre davantage d’utilisateurs à grande échelle.

UAF vous permet également d'utiliser une combinaison de code PIN ou de mot de passe avec la sécurité locale, mais l'expérience ne sera alors plus véritablement sans mot de passe mais se transformera en une sécurité à deux niveaux.

Les données utilisées pour l'authentification selon la norme UAF, telles que votre empreinte digitale ou votre échantillon vocal, résideront toujours uniquement sur votre appareil et bien sûr, elles sont soigneusement cryptées. Ces données sensibles ne doivent pas être exposées au monde extérieur car il existe alors un risque de vol par des pirates.

Bonne chance!


Comment supprimer lavis de demande de droit dauteur dans le coin droit de lécran sous Windows 10

Comment supprimer lavis de demande de droit dauteur dans le coin droit de lécran sous Windows 10

Voyez-vous une notification d’activation de Windows 10 dans le coin droit de l’écran ? Cet article vous expliquera comment supprimer l'avis de demande de droit d'auteur sous Windows 10.

Instructions de A à Z sur la façon dinstaller Windows 10 build 14393.222

Instructions de A à Z sur la façon dinstaller Windows 10 build 14393.222

Récemment, Microsoft a publié la dernière mise à jour cumulative pour les utilisateurs de PC Windows 10, appelée Build 14393.222. Cette mise à jour publiée pour Windows 10 corrige principalement des bugs basés sur les commentaires des utilisateurs et améliore l'expérience de performances du système d'exploitation.

Protégez votre réseau informatique avec lhôte Bastion en seulement 3 étapes

Protégez votre réseau informatique avec lhôte Bastion en seulement 3 étapes

Avez-vous des ordinateurs sur votre réseau local qui nécessitent un accès externe ? Utiliser un hôte bastion comme gardien de votre réseau peut être une bonne solution.

Comment créer une touche Windows si votre clavier nest pas disponible

Comment créer une touche Windows si votre clavier nest pas disponible

Si vous préférez utiliser un vieux clavier classique, comme l'IBM Model M, qui n'inclut pas de touche Windows physique, il existe une méthode simple pour en ajouter davantage, en empruntant une touche que vous n'utilisez pas souvent.

3 façons deffacer rapidement tous les journaux dévénements dans Windows 10

3 façons deffacer rapidement tous les journaux dévénements dans Windows 10

Parfois, vous devrez peut-être supprimer d’un seul coup les anciens journaux d’événements. Dans ce guide, Quantrimang.com vous montrera 3 façons de supprimer rapidement tous les journaux d'événements dans l'Observateur d'événements Windows 10.

Les fausses méthodes IP vous aident à accéder de manière anonyme

Les fausses méthodes IP vous aident à accéder de manière anonyme

Dans de nombreux articles précédents, nous avons mentionné qu’il est extrêmement important de rester anonyme en ligne. Des informations privées sont divulguées chaque année, ce qui rend la sécurité en ligne de plus en plus nécessaire. C'est aussi la raison pour laquelle nous devrions utiliser des adresses IP virtuelles. Ci-dessous, nous découvrirons les méthodes pour créer de fausses IP !

Comment créer un mode darrière-plan transparent sur Windows 10

Comment créer un mode darrière-plan transparent sur Windows 10

WindowTop est un outil qui a la capacité d'atténuer toutes les fenêtres d'application et tous les programmes exécutés sur les ordinateurs Windows 10. Vous pouvez également utiliser une interface à fond sombre sur Windows.

Comment désactiver la barre de langue sur la barre des tâches de Windows 8

Comment désactiver la barre de langue sur la barre des tâches de Windows 8

La barre de langue sous Windows 8 est une barre d'outils de langue miniature conçue pour s'afficher automatiquement sur l'écran du bureau. Cependant, de nombreuses personnes souhaitent masquer cette barre de langue dans la barre des tâches.

Comment configurer WEP, WPA, WPA2 pour le routeur Linksys

Comment configurer WEP, WPA, WPA2 pour le routeur Linksys

La connectivité sans fil est aujourd’hui une nécessité et pour cette raison, la sécurité sans fil est essentielle pour garantir la sécurité de votre réseau interne.

Conseils pour optimiser la vitesse de connexion Internet de Linksys

Conseils pour optimiser la vitesse de connexion Internet de Linksys

Maximiser la vitesse d’Internet est essentiel pour optimiser votre connexion réseau. Vous pouvez vivre une expérience de divertissement et de travail optimale en utilisant des ordinateurs, des téléviseurs connectés à Internet, des consoles de jeux, etc.