Français 
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Google Authenticator synchronise désormais votre One
Les codes à usage unique générés par l'application Authenticator de Google pour sécuriser vos comptes n'ont plus besoin d'être hébergés au même endroit. Au lieu de cela, ils peuvent se synchroniser avec votre compte Google.
Cette mise à jour annoncée lundi par Google comble un écart de fonctionnalités entre Authenticator et des applications d'authentification concurrentes telles que Authy de Twilio (ainsi que de nombreux services de gestion de mots de passe) qui assurent depuis longtemps la synchronisation dans le cloud.
Toutes ces applications empêchent un mot de passe d'être la dernière ligne de défense d'un compte en générant des codes à usage unique à expiration rapide, tels que définis dans la norme TOTP (Time-Based One-Time Password). Lorsque vous saisissez ces numéros sur la page de connexion d'un site, le site compare le code que vous avez saisi avec celui qu'il vient de générer sur la base d'une formule cryptographique partagée créée lorsque vous avez activé la vérification TOTP. S'ils correspondent, vous êtes partant.
Google Authenticator a été l'une des premières applications TOTP grand public, ayant fait ses débuts en 2010, mais pendant ses premières années, elle ne prenait pas en charge le transfert de téléphone à téléphone des codes enregistrés. Il fallait les configurer à nouveau pour chaque compte sur un nouvel appareil, une corvée que le chef de la sécurité de Google, Stephan Somogyi, m'a admis en 2017, était « une douleur totale, totale et totale ».
Google a ensuite ajouté un système de transfert de code plus agréable dans lequel la copie d'Authenticator sur votre ancien téléphone génère un code QR que vous scannez avec Authenticator sur votre nouvel appareil. Mais cela ne fonctionne pas avec un téléphone perdu ou volé, tandis que la nouvelle fonctionnalité de synchronisation de compte garantit que vos codes restent avec vous, à moins que vous ne choisissiez d'utiliser Authenticator sans compte.
Pour le configurer, mettez à jour l'application Google Authenticator et vous serez invité à associer un compte Google. Vous pouvez alors par exemple télécharger Google Authenticator pour iPad, vous connecter avec le même compte Google et obtenir des codes sur l'iPad ainsi que sur l'iPhone.
En plus, l'icône de l'application Google Authenticator est passée d'un « G » gris stylisé à un astérisque dans les couleurs de la marque Google : bleu, rouge, jaune et vert.
La synchronisation de vos codes TOTP avec votre compte Google augmente également les dommages potentiels liés à la compromission de votre compte Google. Si vous envisagez de l'utiliser, vous devez verrouiller votre compte avec une clé de sécurité USB, le type d'authentification à deux facteurs le plus sécurisé disponible. Ces clés, disponibles auprès de Yubico et d'autres fournisseurs pour 25 $ et plus, vérifient également votre identité sur la base de secrets cryptographiques partagés. Et comme ils ne tenteront même pas cet échange avec le mauvais nom de domaine, ils sont immunisés contre le phishing.
L'authentification sans mot de passe, dans laquelle vous confirmez votre connexion sur un ordinateur en déverrouillant votre téléphone via une authentification biométrique (pour confirmer qu'il s'agit bien de vous) à proximité de cette machine (telle que vérifiée par Bluetooth pour prouver que vous êtes réellement là), peut faire éliminez tout besoin d’authentification à deux facteurs. Mais bien qu'Apple, Google et Microsoft aient approuvé conjointement de manière inhabituelle la spécification sans mot de passe au printemps dernier, l'industrie ne fait que commencer à prendre en charge cette norme.
Inscrivez-vous à SecurityWatchnewsletter pour nos principales histoires sur la confidentialité et la sécurité livrées directement dans votre boîte de réception.
Cette newsletter peut contenir des publicités, des offres ou des liens d'affiliation. L'abonnement à une newsletter indique votre consentement à nos conditions d'utilisation et à notre politique de confidentialité. Vous pouvez à tout moment vous désinscrire des newsletters.
Votre abonnement a été confirmé. Gardez un œil sur votre boîte de réception !
Surveillance de sécurité