Vous avez entendu le un conseil depuis des années : Allumez authentification à deux facteurs partout où il est offert. Il est clair depuis longtemps qu’il ne suffit pas d’utiliser uniquement un nom d’utilisateur et un mot de passe pour sécuriser les comptes numériques. Mais la superposition d’un «facteur» d’authentification supplémentaire, comme un code généré aléatoirement ou un jeton physique, rend les clés de votre royaume beaucoup plus difficiles à deviner ou à voler. Et les enjeux sont importants pour les individus et les institutions qui tentent de protéger leurs réseaux et données précieux et sensibles contre le piratage ciblé ou les criminels opportunistes.
Même avec tous ses avantages, cependant, il faut souvent un peu d’amour pour amener les gens à activer l’authentification à deux facteurs, souvent connue sous le nom de 2FA. Hier, lors de la conférence sur la sécurité Black Hat à Las Vegas, John Swanson, directeur de la stratégie de sécurité chez GitHub, a présenté les résultats des efforts de deux ans de la plate-forme de développement logiciel dominante pour rechercher, planifier, puis commencer à déployer deux facteurs obligatoires pour tous les comptes. . Et l’effort est devenu de plus en plus urgent à mesure que attaques de la chaîne d’approvisionnement logicielle proliférer et les menaces sur le écosystème de développement logiciel grandir.
“On parle beaucoup d’exploits et de zero days et de compromis de pipeline de construction en termes de chaîne d’approvisionnement logicielle, mais en fin de compte, le moyen le plus simple de compromettre la chaîne d’approvisionnement logicielle est de compromettre un développeur ou un ingénieur individuel”, Swanson a déclaré à WIRED avant sa présentation à la conférence. “Nous pensons que 2FA est un moyen vraiment efficace de travailler pour empêcher cela.”
Des entreprises comme Apple et Google ont fait des efforts concertés pour pousser leurs énormes bases d’utilisateurs vers 2FA, mais Swanson souligne que les entreprises disposant d’un écosystème matériel, comme les téléphones et les ordinateurs, en plus des logiciels ont plus d’options pour faciliter la transition pour les clients. Les plates-formes Web comme GitHub doivent utiliser des stratégies sur mesure pour s’assurer que le double facteur n’est pas trop onéreux pour les utilisateurs du monde entier qui ont tous des circonstances et des ressources différentes.
Par exemple, recevoir des codes générés aléatoirement pour des via SMS est moins sécurisé que de générer ces codes dans une application mobile dédiée, car les attaquants disposent de méthodes pour compromettre les numéros de téléphone des cibles et intercepter leurs SMS. Principalement par mesure de réduction des coûts, des entreprises comme X, anciennement connu sous le nom de Twitter, ont réduit leurs offres SMS à deux facteurs. Mais Swanson dit que lui et ses collègues de GitHub ont soigneusement étudié le choix et ont conclu qu’il était plus important d’offrir plusieurs options à deux facteurs que d’adopter une ligne dure sur la livraison de code SMS. Tout deuxième facteur vaut mieux que rien. GitHub propose également et promeut plus fortement des alternatives telles que l’utilisation d’une application d’authentification générant du code, l’authentification mobile basée sur un message push ou un jeton d’authentification matériel. La société a également ajouté récemment prise en charge des clés de sécurité.
L’essentiel est que, d’une manière ou d’une autre, les 100 millions d’utilisateurs de GitHub finiront par activer 2FA s’ils ne l’ont pas déjà fait. Avant de commencer le déploiement, Swanson et son équipe ont passé beaucoup de temps à étudier l’expérience utilisateur à deux facteurs. Ils ont révisé le flux d’intégration pour rendre plus difficile pour les utilisateurs la mauvaise configuration de leur double facteur, l’une des principales causes du blocage de leurs comptes par les clients. Le processus mettait davantage l’accent sur des éléments tels que le téléchargement de codes de récupération de sauvegarde afin que les utilisateurs disposent d’un filet de sécurité pour accéder à leurs comptes s’ils perdent l’accès. L’entreprise a également examiné sa capacité de soutien pour s’assurer qu’elle pouvait répondre aux questions et aux préoccupations sans heurts.
