Le mot de passe est par dĂ©finition le standard de sĂ©curitĂ© mis en Ćuvre dans le monde de l’ informatique. Cependant, avec les outils dont disposent les pirates Ă l’heure actuelle, les mots de passe peuvent ĂȘtre devinĂ©s, piratĂ© ou interceptĂ©s, ce qui est un inconvĂ©nient majeur. Pour compenser ces faiblesses, nous avons la possibilitĂ© de mettre en place un systĂšme d’authentification Ă deux facteurs.
Contrairement aux mots de passe, l’ authentification Ă deux facteurs (2FA) est un processus en deux Ă©tapes qui rĂ©clame deux, des trois facteurs possibles: qui vous ĂȘtes, ce que vous avez, et ce que vous connaissez, pour prouver votre identitĂ©. Les implĂ©mentations actuelles de l’authentification Ă deux facteurs utilisent quelque chose que vous savez (le mot de passe) et quelque chose que vous avez / possĂ©dez (comme un tĂ©lĂ©phone mobile, un compte de messagerie, une clĂ©Â matĂ©rielle, etc.)
Authentification Ă deux facteurs pour WordPress
WordPress ne propose l’authentification Ă deux facteurs que via des plugin, ceux-ci offrant diffĂ©rentes mĂ©thodes pour mettre en place ce type d’authentification:
- un mot de passe unique (OTP) envoyé par SMS
- un appel téléphonique
- un mot de passe unique (OTP) envoyé par email
- un code QR
- des authentificateurs
- une notification push
- des générateurs de clés basé sur le matériel, tels que Yubikey, SolidPass, etc.
Voyons ensemble les six meilleurs plugin d’authentification Ă deux facteurs pour WordPress qui vous permettront de renforcer la sĂ©curitĂ© de votre connexion et qui feront office de parade face aux attaques par force brute contre votre blog ou site WordPress.
1. Google Authenticator – Two-Factor Authentication
Google Authenticator – Two-Factor Authentication est le plugin d’authentification Ă deux facteurs pour WordPress le plus avancĂ©. Il prend des mesures proactives contre les Ă©ventuels problĂšmes et fournit des solutions de sauvegarde multiples pour aider les utilisateurs en cas de crise grave.
GrĂące Ă ce plugin, les administrateurs et les utilisateurs peuvent activer le service de connexion Ă deux facteurs, configurer leurs propres options de connexion, et peuvent se connecter Ă votre site WordPress en utilisant nom d’ utilisateur + mot de passe + authentification Ă deux facteurs ou nom d’ utilisateur + authentification Ă deux facteurs.
Avantages
- Authentification à deux facteurs via SMS, mot de passe unique envoyé par e-mail, clé logicielle, QR code, notification push
- Des shortcodes sont disponibles pour la personnalisation des pages de connexion frontales
- Identification de l’appareil, Ă©vite les tentatives rĂ©pĂ©tĂ©es avec le mĂȘme appareil
Inconvénients
- Pas de support pour l’appel tĂ©lĂ©phonique et YubiKey (mode d’authentification basĂ©e sur le matĂ©riel)
- Pas de support pour les multi-sites WordPress
2. Duo Two-Factor Authentication
Duo Two-Factor Authentication peut ĂȘtre configurĂ© en quelques minutes, sans aucune difficultĂ© technique. Pour utiliser Duo Two-Factor Authentication, il suffit d’installer le plugin et de vous inscrire Ă ce service, pour pouvoir commencer Ă vous connecter sans mot de passe.
Duo Two-Factor Authentication vous donne un contrĂŽle total des rĂŽles des utilisateurs peuvent qui opter pour l’authentification Ă deux facteurs, les autres rĂŽles continueront Ă saisir leur mot de passe. Duo Two-Factor Authentication prend en charge plusieurs mĂ©thodes d’authentification des utilisateurs, tels que l’identification en une touche, un mot de passe unique gĂ©nĂ©rĂ© par l’application, un mot de passe unique envoyĂ© par SMS, un appel tĂ©lĂ©phonique, ou une clĂ© matĂ©rielle telle que Yubikey, SolidPass, etc.
Avantages
- Authentification Ă deux facteurs via ne touche, un mot de passe unique gĂ©nĂ©rĂ© par l’application, un mot de passe unique envoyĂ© par SMS, un appel tĂ©lĂ©phonique, ou une clĂ© matĂ©rielle telle que Yubikey, SolidPass, etc.
- Authentification à deux facteurs supporte les SMS et un appel téléphonique, qui est facilement disponible pour la plupart des utilisateurs
- Prend en charge plusieurs générateurs de jetons basés sur le matériel comme Yubikey, FortiToken, SolidPass, etc.
Inconvénients
- Pas de support pour Google Authenticator
- Ne supporte pas le code QR pour l’authentification
- N’offre pas de shortcodes pour intĂ©grer facilement les fonctionnalitĂ©s d’authentification Ă deux facteurs sur une page / un widget
- Pas de support pour les installation multisites WordPress
3. Two Factor Authentication
Ce plugin vous permet d’ activer 2FA (l’Authentification Ă deux facteurs) en fonction des rĂŽles utilisateurs. Il peut ĂȘtre activĂ© ou dĂ©sactivĂ© par chaque utilisateur, et affiche l’authentification Ă deux facteurs sur la page de connexion uniquement pour les utilisateurs autorisĂ©s. Il permet Ă©galement l’Ă©dition des paramĂštres frontaux via un shortcode et vous aide Ă afficher ses paramĂštres sans permettre aux utilisateurs d’accĂ©der au tableau de bord.
Two Factor Authentication supporte le formulaire de connexion WooCommerce et le plugin « Theme My Login » qui vous permet de personnaliser les pages de connexion avec l’authentification Ă deux facteurs pour les utilisateurs.
La version premium offre plus de fonctionnalitĂ©s telles que des mises en page personnalisĂ©es, des codes de sauvegarde d’urgence, un meilleur contrĂŽle de l’ administration sur les deux facteurs, des codes utilisateurs, et plus encore.
Avantages
- Authentification à deux facteurs à l'aide du protocole TOTP, mot de passe limité dans le temps et HOTP (mot de passe unique basé sur la configuration matérielle) et le code QR
- Prise en charge de Google Authenticator, Authy, et divers autres systĂšmes
- Support des installations multisites WordPress
Inconvénients
- Absence de 2FA par SMS, appel téléphonique, mot de passe unique par email, et Yubikey
- Ne fonctionne pas si l’utilisateur ne possĂšde pas un smartphone
- Aucun shortcode pour intĂ©grer le systĂšme d’authentification sur une page ou un widget
- Pas de support pour des générateurs de clés basés sur le matériel comme Yubikey, FortiToken, etc.
4. Clef Two-Factor Authentication
Clef Two-Factor Authentication est un systÚme d'authentification à deux facteurs unique en son genre, qui utilise "Clef Wave" pour vérifier l'identité de l'utilisateur. Ce plugin change totalement la façon dont vous vous connectez à WordPress, nom d'utilisateur et mot de passe ne sont plus nécessaires. Grùce à ce plugin, vous avez uniquement besoin de votre smartphone et de l' application Clef. Vous connecter devient aussi simple que tenir votre téléphone.
Clef Two-Factor Authentication rend WordPress hautement sécurisé, et protÚge votre site contre les violations liées aux mots de passe. Il remplace les mots de passe par une connexions à deux facteurs sécurisée grùce au crypto-systÚme RSA à clé publique.
Son systÚme unique vous permet de vous connecter et de vous déconnecter en un clic. Vous pouvez définir que Clef sera le seul et unique moyen de se connecter à votre site, quels que soient les rÎles utilisateur.
Avantages
- Authentification Ă deux facteurs Ă l’aide de « Clef Wave »
- DĂ©sactivation du mot de passe pour les utilisateurs ainsi que les API
- Shortcode permettant d’initier la connexion de Clef sur une page / un widget
- Support des installations multisites WordPress
Inconvénients
- Pas de support pour Google Authenticator
- Ne prend pas en charge les SMS, l’ appel tĂ©lĂ©phonique, mot de passe unique par email, Code QR, et Yubikey
- Mauvais choix si vous ou vos utilisateurs ne possédez pas de smartphone
5. Shield WordPress Security
Shield WordPress Security (anciennement Simple Firewall) offre deux modes d'authentification de connexion à deux facteurs, par email et avec Yubikey . Son authentification email offre deux méthodes (adresse IP et cookies) qui permet aux utilisateurs de choisir leur méthode préférée.
Par exemple, on peut opter pour une vĂ©rification basĂ©e sur l'adresse IP, si son adresse IP ne change pas souvent, et que vous souhaitez crĂ©er plusieurs sessions de connexion WordPress Ă partir d'un emplacement rĂ©seau unique ou avec plusieurs navigateurs sur le mĂȘme ordinateur.
Avantages
- Authentification à deux facteurs par mot de passe unique envoyé par email et Yubikey
- Prise en charge de deux mĂ©thodes d’authentification par Email + Adresse IP et cookies
- Offre différentes autres fonctions de sécurité pour protéger votre site WordPress
Inconvénients
- Pas de support pour Google Authenticator
- L’authentification Ă deux facteurs ne prend pas en charge les SMS, l’appel tĂ©lĂ©phonique, la notification push, ou le Code QR
- Trop de fonctionnalités de sécurité pour une authentification à deux facteurs.
6. Rublon Account Security: Two-Factor Auth+
Rublon Account Security: Two-Factor Auth+ permet un processus de téléchargement et d'activation en un seul clic, ce qui vous permet de définir rapidement la sécurité à deux facteurs sur votre blog ou site WordPress. Il est gratuit pour un seul utilisateur.
Rublon Account Security: Two-Factor Auth+ propose l'email et son application smartphone pour vérifier les utilisateurs qui tentent de se connecter. Aucune connaissance particuliÚre n'est requise pour incorporer ou utiliser la fonctionnalité d'authentification à deux facteurs.
De plus, sa procĂ©dure via email est plus simple que les autres, vous n'avez pas besoin de copier/coller, depuis votre boĂźte de rĂ©ception, le mot de passe unique qui vous est adressĂ©, il vous suffit de cliquer sur un lien dans le mail reçu pour confirmer que vous ĂȘtes le titulaire du compte.
Avantages
- Authentification Ă deux facteurs par courriel ou application mobile Rublon
- L’identification de l’appareil vous empĂȘche de vĂ©rifier deux fois votre identitĂ© Ă partir du mĂȘme dispositif
- Déconnexion à distance en retirant un dispositif autorisé de la liste des périphériques
Inconvénients
- Gratuit pour un seul utilisateur par site
- Pas de support pour Google Authenticator
- L’authentification Ă deux facteurs ne prend pas en charge les SMS, l’appel tĂ©lĂ©phonique, la notification Push, ou les jetons matĂ©riels.
- Pas de shortcode disponible pour intĂ©grer l’authentification Ă deux facteurs Ă une page ou un widget
Pour conclure
Que vous ayez un blog que vous gérez seul, ou en collaboration avec une équipe d'auteurs et de rédacteurs, ou que vous construisiez des blogs WordPress pour des clients, l'authentification à deux facteurs aidera à mieux protéger vos sites WordPress.
Mon plugin préféré est Clef, en raison de son systÚme unique d'authentification qui en fait un systÚme de sécurité de premier choix. Dites-nous dans les commentaires quel est le plugin d'authentification à deux facteurs que vous préférez, et pourquoi ce choix.
Partagez cet article pour aider d'autres utilisateurs Ă ĂȘtre en sĂ©curitĂ©, Merci!
Publié à l'origine le : 22 juillet 2016 @ 13 h 36 min