Le mot de passe est par définition le standard de sécurité mis en œuvre dans le monde de l’ informatique. Cependant, avec les outils dont disposent les pirates à l’heure actuelle, les mots de passe peuvent être devinés, piraté ou interceptés, ce qui est un inconvénient majeur. Pour compenser ces faiblesses, nous avons la possibilité de mettre en place un système d’authentification à deux facteurs.
Contrairement aux mots de passe, l’ authentification à deux facteurs (2FA) est un processus en deux étapes qui réclame deux, des trois facteurs possibles: qui vous êtes, ce que vous avez, et ce que vous connaissez, pour prouver votre identité. Les implémentations actuelles de l’authentification à deux facteurs utilisent quelque chose que vous savez (le mot de passe) et quelque chose que vous avez / possédez (comme un téléphone mobile, un compte de messagerie, une clé matérielle, etc.)
Authentification à deux facteurs pour WordPress
WordPress ne propose l’authentification à deux facteurs que via des plugin, ceux-ci offrant différentes méthodes pour mettre en place ce type d’authentification:
- un mot de passe unique (OTP) envoyé par SMS
- un appel téléphonique
- un mot de passe unique (OTP) envoyé par email
- un code QR
- des authentificateurs
- une notification push
- des générateurs de clés basé sur le matériel, tels que Yubikey, SolidPass, etc.
Voyons ensemble les six meilleurs plugin d’authentification à deux facteurs pour WordPress qui vous permettront de renforcer la sécurité de votre connexion et qui feront office de parade face aux attaques par force brute contre votre blog ou site WordPress.
1. Google Authenticator – Two-Factor Authentication
Google Authenticator – Two-Factor Authentication est le plugin d’authentification à deux facteurs pour WordPress le plus avancé. Il prend des mesures proactives contre les éventuels problèmes et fournit des solutions de sauvegarde multiples pour aider les utilisateurs en cas de crise grave.
Grâce à ce plugin, les administrateurs et les utilisateurs peuvent activer le service de connexion à deux facteurs, configurer leurs propres options de connexion, et peuvent se connecter à votre site WordPress en utilisant nom d’ utilisateur + mot de passe + authentification à deux facteurs ou nom d’ utilisateur + authentification à deux facteurs.
Avantages
- Authentification à deux facteurs via SMS, mot de passe unique envoyé par e-mail, clé logicielle, QR code, notification push
- Des shortcodes sont disponibles pour la personnalisation des pages de connexion frontales
- Identification de l’appareil, évite les tentatives répétées avec le même appareil
Inconvénients
- Pas de support pour l’appel téléphonique et YubiKey (mode d’authentification basée sur le matériel)
- Pas de support pour les multi-sites WordPress
2. Duo Two-Factor Authentication
Duo Two-Factor Authentication peut être configuré en quelques minutes, sans aucune difficulté technique. Pour utiliser Duo Two-Factor Authentication, il suffit d’installer le plugin et de vous inscrire à ce service, pour pouvoir commencer à vous connecter sans mot de passe.
Duo Two-Factor Authentication vous donne un contrôle total des rôles des utilisateurs peuvent qui opter pour l’authentification à deux facteurs, les autres rôles continueront à saisir leur mot de passe. Duo Two-Factor Authentication prend en charge plusieurs méthodes d’authentification des utilisateurs, tels que l’identification en une touche, un mot de passe unique généré par l’application, un mot de passe unique envoyé par SMS, un appel téléphonique, ou une clé matérielle telle que Yubikey, SolidPass, etc.
Avantages
- Authentification à deux facteurs via ne touche, un mot de passe unique généré par l’application, un mot de passe unique envoyé par SMS, un appel téléphonique, ou une clé matérielle telle que Yubikey, SolidPass, etc.
- Authentification à deux facteurs supporte les SMS et un appel téléphonique, qui est facilement disponible pour la plupart des utilisateurs
- Prend en charge plusieurs générateurs de jetons basés sur le matériel comme Yubikey, FortiToken, SolidPass, etc.
Inconvénients
- Pas de support pour Google Authenticator
- Ne supporte pas le code QR pour l’authentification
- N’offre pas de shortcodes pour intégrer facilement les fonctionnalités d’authentification à deux facteurs sur une page / un widget
- Pas de support pour les installation multisites WordPress
3. Two Factor Authentication
Ce plugin vous permet d’ activer 2FA (l’Authentification à deux facteurs) en fonction des rôles utilisateurs. Il peut être activé ou désactivé par chaque utilisateur, et affiche l’authentification à deux facteurs sur la page de connexion uniquement pour les utilisateurs autorisés. Il permet également l’édition des paramètres frontaux via un shortcode et vous aide à afficher ses paramètres sans permettre aux utilisateurs d’accéder au tableau de bord.
Two Factor Authentication supporte le formulaire de connexion WooCommerce et le plugin « Theme My Login » qui vous permet de personnaliser les pages de connexion avec l’authentification à deux facteurs pour les utilisateurs.
La version premium offre plus de fonctionnalités telles que des mises en page personnalisées, des codes de sauvegarde d’urgence, un meilleur contrôle de l’ administration sur les deux facteurs, des codes utilisateurs, et plus encore.
Avantages
- Authentification à deux facteurs à l'aide du protocole TOTP, mot de passe limité dans le temps et HOTP (mot de passe unique basé sur la configuration matérielle) et le code QR
- Prise en charge de Google Authenticator, Authy, et divers autres systèmes
- Support des installations multisites WordPress
Inconvénients
- Absence de 2FA par SMS, appel téléphonique, mot de passe unique par email, et Yubikey
- Ne fonctionne pas si l’utilisateur ne possède pas un smartphone
- Aucun shortcode pour intégrer le système d’authentification sur une page ou un widget
- Pas de support pour des générateurs de clés basés sur le matériel comme Yubikey, FortiToken, etc.
4. Clef Two-Factor Authentication
Clef Two-Factor Authentication est un système d'authentification à deux facteurs unique en son genre, qui utilise "Clef Wave" pour vérifier l'identité de l'utilisateur. Ce plugin change totalement la façon dont vous vous connectez à WordPress, nom d'utilisateur et mot de passe ne sont plus nécessaires. Grâce à ce plugin, vous avez uniquement besoin de votre smartphone et de l' application Clef. Vous connecter devient aussi simple que tenir votre téléphone.
Clef Two-Factor Authentication rend WordPress hautement sécurisé, et protège votre site contre les violations liées aux mots de passe. Il remplace les mots de passe par une connexions à deux facteurs sécurisée grâce au crypto-système RSA à clé publique.
Son système unique vous permet de vous connecter et de vous déconnecter en un clic. Vous pouvez définir que Clef sera le seul et unique moyen de se connecter à votre site, quels que soient les rôles utilisateur.
Avantages
- Authentification à deux facteurs à l’aide de « Clef Wave »
- Désactivation du mot de passe pour les utilisateurs ainsi que les API
- Shortcode permettant d’initier la connexion de Clef sur une page / un widget
- Support des installations multisites WordPress
Inconvénients
- Pas de support pour Google Authenticator
- Ne prend pas en charge les SMS, l’ appel téléphonique, mot de passe unique par email, Code QR, et Yubikey
- Mauvais choix si vous ou vos utilisateurs ne possédez pas de smartphone
5. Shield WordPress Security
Shield WordPress Security (anciennement Simple Firewall) offre deux modes d'authentification de connexion à deux facteurs, par email et avec Yubikey . Son authentification email offre deux méthodes (adresse IP et cookies) qui permet aux utilisateurs de choisir leur méthode préférée.
Par exemple, on peut opter pour une vérification basée sur l'adresse IP, si son adresse IP ne change pas souvent, et que vous souhaitez créer plusieurs sessions de connexion WordPress à partir d'un emplacement réseau unique ou avec plusieurs navigateurs sur le même ordinateur.
Avantages
- Authentification à deux facteurs par mot de passe unique envoyé par email et Yubikey
- Prise en charge de deux méthodes d’authentification par Email + Adresse IP et cookies
- Offre différentes autres fonctions de sécurité pour protéger votre site WordPress
Inconvénients
- Pas de support pour Google Authenticator
- L’authentification à deux facteurs ne prend pas en charge les SMS, l’appel téléphonique, la notification push, ou le Code QR
- Trop de fonctionnalités de sécurité pour une authentification à deux facteurs.
6. Rublon Account Security: Two-Factor Auth+
Rublon Account Security: Two-Factor Auth+ permet un processus de téléchargement et d'activation en un seul clic, ce qui vous permet de définir rapidement la sécurité à deux facteurs sur votre blog ou site WordPress. Il est gratuit pour un seul utilisateur.
Rublon Account Security: Two-Factor Auth+ propose l'email et son application smartphone pour vérifier les utilisateurs qui tentent de se connecter. Aucune connaissance particulière n'est requise pour incorporer ou utiliser la fonctionnalité d'authentification à deux facteurs.
De plus, sa procédure via email est plus simple que les autres, vous n'avez pas besoin de copier/coller, depuis votre boîte de réception, le mot de passe unique qui vous est adressé, il vous suffit de cliquer sur un lien dans le mail reçu pour confirmer que vous êtes le titulaire du compte.
Avantages
- Authentification à deux facteurs par courriel ou application mobile Rublon
- L’identification de l’appareil vous empêche de vérifier deux fois votre identité à partir du même dispositif
- Déconnexion à distance en retirant un dispositif autorisé de la liste des périphériques
Inconvénients
- Gratuit pour un seul utilisateur par site
- Pas de support pour Google Authenticator
- L’authentification à deux facteurs ne prend pas en charge les SMS, l’appel téléphonique, la notification Push, ou les jetons matériels.
- Pas de shortcode disponible pour intégrer l’authentification à deux facteurs à une page ou un widget
Pour conclure
Que vous ayez un blog que vous gérez seul, ou en collaboration avec une équipe d'auteurs et de rédacteurs, ou que vous construisiez des blogs WordPress pour des clients, l'authentification à deux facteurs aidera à mieux protéger vos sites WordPress.
Mon plugin préféré est Clef, en raison de son système unique d'authentification qui en fait un système de sécurité de premier choix. Dites-nous dans les commentaires quel est le plugin d'authentification à deux facteurs que vous préférez, et pourquoi ce choix.
Partagez cet article pour aider d'autres utilisateurs à être en sécurité, Merci!
Publié à l'origine le : 22 juillet 2016 @ 13 h 36 min