Passefort Créer un mot de passe

Comment fonctionne l’authentification à deux facteurs ?

Une seconde preuve d’identité

Comment fonctionne l’authentification à deux facteurs ?

La 2FA ajoute une preuve différente au mot de passe et réduit l’impact de son vol.

Réponse immédiate : l’authentification à deux facteurs, ou 2FA, demande deux preuves de catégories différentes : par exemple un mot de passe que vous connaissez et une clé de sécurité que vous possédez. Si le mot de passe est volé, l’attaquant doit encore obtenir le second facteur.

Connexion protégée par un mot de passe puis une clé de sécurité comme second facteur
Illustration prévue : deux facteurs indépendants valent mieux que deux secrets de même nature.

Les différentes catégories

Ce que vous savez

Mot de passe, phrase de passe ou code PIN.

Ce que vous possédez

Téléphone, application d’authentification, passkey ou clé physique.

Ce que vous êtes

Empreinte ou visage, généralement vérifié localement par l’appareil.

Deux facteurs distincts

Deux mots de passe ne constituent pas une véritable 2FA.

Ce qui se passe lors de la connexion

Vous saisissez le premier facteur

Le service vérifie votre mot de passe ou votre phrase de passe.

Il demande une seconde preuve

Vous approuvez sur un appareil, saisissez un code temporaire ou touchez une clé.

La preuve est vérifiée

Le serveur contrôle qu’elle correspond à l’enregistrement associé au compte.

La session est ouverte

Le service peut mémoriser temporairement l’appareil selon sa politique de risque.

Quelle méthode choisir ?

MéthodeNiveau pratiqueLimite principale
Passkey ou clé de sécurité FIDOÀ privilégierCompatibilité et récupération à préparer
Application de codes temporairesBon choix courantUn faux site peut demander le code en temps réel
Notification d’approbationBonne si elle affiche le contexteRisque d’approuver machinalement
SMSMieux que rienInterception et détournement de numéro possibles
Code reçu par e-mailProtection limitéeDépend de la sécurité de la messagerie

Aucune méthode n’est parfaite, mais une méthode disponible et activée protège mieux qu’une option idéale laissée désactivée. Pour la messagerie, la banque et le gestionnaire de mots de passe, choisissez la méthode la plus résistante proposée.

Exemple original

Un faux site copie la page d’une boutique et vole le mot de passe d’Inès. Avec un code SMS, il peut tenter de lui faire saisir le code. Avec une passkey liée au vrai domaine, le navigateur ne produit pas la preuve cryptographique pour le domaine imitateur.

Avant d’activer la 2FA

  1. Mettez à jour les coordonnées de récupération.
  2. Enregistrez au moins deux méthodes si le service le permet.
  3. Conservez les codes de récupération hors du téléphone principal.
  4. Ne validez jamais une demande que vous n’avez pas initiée.
  5. Gardez un mot de passe unique : la 2FA ne justifie pas sa réutilisation.

Guides associés

Sources officielles consultées

La 2FA complète un mot de passe unique.

Créez d’abord une combinaison longue et aléatoire.

Générer un mot de passe