Une seconde preuve d’identité
Comment fonctionne l’authentification à deux facteurs ?
La 2FA ajoute une preuve différente au mot de passe et réduit l’impact de son vol.
Réponse immédiate : l’authentification à deux facteurs, ou 2FA, demande deux preuves de catégories différentes : par exemple un mot de passe que vous connaissez et une clé de sécurité que vous possédez. Si le mot de passe est volé, l’attaquant doit encore obtenir le second facteur.

Les différentes catégories
Ce que vous savez
Mot de passe, phrase de passe ou code PIN.
Ce que vous possédez
Téléphone, application d’authentification, passkey ou clé physique.
Ce que vous êtes
Empreinte ou visage, généralement vérifié localement par l’appareil.
Deux facteurs distincts
Deux mots de passe ne constituent pas une véritable 2FA.
Ce qui se passe lors de la connexion
Vous saisissez le premier facteur
Le service vérifie votre mot de passe ou votre phrase de passe.
Il demande une seconde preuve
Vous approuvez sur un appareil, saisissez un code temporaire ou touchez une clé.
La preuve est vérifiée
Le serveur contrôle qu’elle correspond à l’enregistrement associé au compte.
La session est ouverte
Le service peut mémoriser temporairement l’appareil selon sa politique de risque.
Quelle méthode choisir ?
| Méthode | Niveau pratique | Limite principale |
|---|---|---|
| Passkey ou clé de sécurité FIDO | À privilégier | Compatibilité et récupération à préparer |
| Application de codes temporaires | Bon choix courant | Un faux site peut demander le code en temps réel |
| Notification d’approbation | Bonne si elle affiche le contexte | Risque d’approuver machinalement |
| SMS | Mieux que rien | Interception et détournement de numéro possibles |
| Code reçu par e-mail | Protection limitée | Dépend de la sécurité de la messagerie |
Aucune méthode n’est parfaite, mais une méthode disponible et activée protège mieux qu’une option idéale laissée désactivée. Pour la messagerie, la banque et le gestionnaire de mots de passe, choisissez la méthode la plus résistante proposée.
Un faux site copie la page d’une boutique et vole le mot de passe d’Inès. Avec un code SMS, il peut tenter de lui faire saisir le code. Avec une passkey liée au vrai domaine, le navigateur ne produit pas la preuve cryptographique pour le domaine imitateur.
Avant d’activer la 2FA
- Mettez à jour les coordonnées de récupération.
- Enregistrez au moins deux méthodes si le service le permet.
- Conservez les codes de récupération hors du téléphone principal.
- Ne validez jamais une demande que vous n’avez pas initiée.
- Gardez un mot de passe unique : la 2FA ne justifie pas sa réutilisation.
Guides associés
Sources officielles consultées
La 2FA complète un mot de passe unique.
Créez d’abord une combinaison longue et aléatoire.