Microsoft Authenticator : la vérification en deux étapes de Microsoft
Depuis iOS 9 et OS X El Capitan, Apple a mis au point un système d’authentification à deux facteurs (A2F) qui ajoute une couche de sécurité au moment de s’identifier à un service en ligne. Sur les OS précédents, il s’agit de la vérification en deux étapes (V2E), mais le principe est le même : au moment de se connecter à un service en ligne, on reçoit sur un appareil de confiance un code de sécurité à 4 (V2E) ou 6 chiffres (A2F). Il est chaudement recommandé d’activer cette protection supplémentaire.
Microsoft a développé son propre système de vérification à deux étapes, qui nécessite d’installer l’application Microsoft Authenticator, disponible pour les trois plateformes mobiles : ici pour iOS, là pour Android, là pour Windows Phone (il s’agit d’une bêta pour cet OS). L’idée est de protéger votre compte Microsoft d’une intrusion malveillante : lors de la connexion, une notification vous demandera d’approuver ladite connexion.
Si jamais le smartphone se trouve hors réseau, il est possible de générer un code de sécurité depuis l’application. Microsoft Authenticator – qui s’appelait auparavant Azure Authenticator – est gratuit.
Si même Microsoft sort ses applications – et pas n'importe lesquelles, la sécurité c'est primordial – d'abord sur iOS et Android et seulement après sur Windows Phone, ça me semble assez grave.
@Timekeeper :
Je me suis dit la même chose... mais avec Microsoft on s'attend à tout...
Heu pour valider une connexion depuis l'iPhone il faut disposer de l'App sur un Windows Phone qui recoit le code.
pour valider une connexion depuis un Android il faut disposer de l'App sur un iPhone qui recoit le code.
pour valider une connexion depuis un Windows Phone il faut disposer de l'App sur un iPhone qui recoit le code.
Pour telecharger l'App pour iPhone il faut d'abord telecharger l'App pour Windows Phone
Pour telecharger l'App pour Windows Phone il faut d'abord telecharger l'App pour iPhone
...
Oui, Microsoft a abandonné le smartphone, mais l'equipe surdimensionnée produisant des applications pour le Windows phone n'a pas informé les 2 développeurs de leurs licenciement...
Sinon, on passe par Windows 10 sur PC qui de toute facon sait pertinemment absolument tout sur la personne qui est devant l'ordinateur, et cela en temps reel.
@Timekeeper :
Je pense qu'ils préfèrent faire mourir l'OS mobile pour revenir plus fort avec un hypothétique Surface Phone.
De toute façon le mieux c'est de ne plus en parler dans leur communication car si ca devait sortir ca leur permettrait de faire une double communication hard soft avec l'arrivée de Redstone 2 ou 3.
Pourquoi grave ? Je pense que ça montre surtout qu'ils sont conscients de la répartition du marché des OS mobiles.
Personnellement, j'utilise Authy sur iOS et sur Mac (via l'extension Chrome) : c'est plutôt bien aussi.
Cette fonctionnalité devrait être native à chaque OS.
J'utilise Authenticator de Google qui est utilisé aussi par OVH et Dropbox , par exemple mais aussi Authenticator de MS.
Ce n'est pas une contrainte mais une sécurité supplémentaire que j'espère plus dure à contourner.
@FloMo
La question que je me pose toujours, face à ces sociétés qui proposent ce genre de service de sécurité, c'est qui est derrière? Peut-on faire confiance à ces sociétés? Qu'est-ce qui nous garantit que ce ne sont pas une nouvelle étape dans la technique de phishing...
Concernant Authy, developpé par Twilio Inc, que sait-on de cette societe?
À noter qu'on n'est pas obligé de passer par leur application : si on choisi "autre" comme plateforme, on se voit proposer un TOTP standard avec un QR-code à scanner, compatible avec l'application de Google, 1Password, et sans doute beaucoup d'autres. Moins pratique que le système de notification, mais ça évite d'installer une application de plus.
Étrangement j'ai plus confiance aux système fait par des petits groupes que toutes la communication sécuritaire d'entreprise US soumises aux lois US.
@TyrellWellick :
D'entreprises du genre E.Corp ;)
@yasuo87 :
Haha oui exactement !!^^
Un système de vérification issu de la société qui a créé "Secure boot" dont il a récemment été démontré que cela pouvait être exploité pour implanter du code félon (malicieux me semble trop sympathique)... Je vais bien réfléchir à deux fois avant de l'utiliser.
Un...
Deux...
Bon, ce sera non !