De plus en plus de sites utilisent l’authentification multi-facteurs pour améliorer leur sécurité. Google, par exemple, me demande mon numéro de mobile pour confirmer mon identité avant de pouvoir me connecter à Gmail. Et, c’est une bonne idée.
L’authentification à deux facteurs
La sécurité (ou l’absence de sécurité) est un véritable problème et alors que que vous ne pouvez pas empêcher une faille de sécurité importante comme celle arrivée récemment dans Certicode, le système de transaction mobile de la Banque Postale, vous pouvez faire en sorte de protéger vos informations et votre site.
Qu’est-ce que l’authentification à deux facteurs?
Comme son nom l’indique, l’authentification à deux facteurs est un processus qui nécessite deux authentifications avant de pouvoir vous connecter à votre site. De nombreux sites de grands marques utilisent ce type de processus, d’une manière ou d’une autre, comme par exemple Google (mentionné plus haut), mais aussi des sites comme Twitter, Facebook et Amazon utilisent l’authentification multi-facteurs.
L’exemple le plus commun, de l’authentification à deux facteurs actuellement utilisée, nécessite que vous entriez votre nom d’utilisateur et votre mot de passe, comme d’habitude, mais avant d’être connecté, vous devez remplir une deuxième étape de confirmation de votre identité avec votre téléphone portable ou une tablette, généralement au travers d’une application secondaire.
Il existe plusieurs autres types d’authentification à deux facteurs sur le marché, vous pourriez, par exemple, être invité à saisir un numéro d’identification personnel spécifique (PIN) en plus de votre nom d’utilisateur et de votre mot de passe, ou vous pourriez être amené à confirmer un motif visuel spécifique avant de pouvoir accéder à votre site. De nombreuses banques utilisent cette forme d’authentification.
Pourquoi avez vous besoin de l’authentification à deux facteurs?
Comme je le disais dans le premier paragraphe, l’authentification à deux facteurs ajoute une couche de sécurité supplémentaire, dans un monde où le piratage est devenu banal. En bref, vous en avez besoin parce qu’il faut protéger vos informations personnelles et votre site des personnes malintentionnées d’Internet, et elles sont nombreuses.
Les attaques par force brute se multiplient et sauf si vous votre site est correctement protégé, il est fort probable qu’un pirate perce vos défenses et vole vos informations, télécharge des logiciels malveillants, ou effectuer toute une série d’autres actes néfastes pour votre site.
L’authentification à deux facteurs complique le piratage de votre site. Et à moins d’être propriétaire d’un site de haut niveau, la plupart des pirates et les robots abandonneront après quelques tentatives infructueuses.
Vous voulez une réponse encore plus courte?
Tout ce que vous ferez pour rendre votre site plus difficile à pirater, vaudra la peine d’être fait.
De nombreux propriétaires de sites sont réticents pour instaurer ce type d’authentification, parce que le processus d’amélioration de la sécurité du site, complique le processus de connexion et prend plus de temps. Il faut effectivement un peu plus longtemps pour vous connecter, mais vous pouvez toujours, si c’est une de vos préoccupations majeures, opter pour l’option « Se souvenir de moi », lors de l’identification, pour réduire le nombre de fois où vous aurez à passer par le processus d’authentification en une semaine.
Quelles sont les options ?
Il existe plusieurs plugin qui facilitent la mise en place de l’authentification à deux facteurs. Voyons ensemble les principales solutions
Clef
Clef est mon plugin préféré en terme d’authentification à deux facteurs. Ce plugin a une approche unique, qui bien du fait qu’elle semble intimidante, alors qu’elle est vraiment simple à utiliser. Après avoir installé le plugin et l’application correspondante sur votre téléphone, il vous suffit de vous rendre à l’écran wp-admin de votre site et sélectionner le bouton « Connectez-vous avec votre téléphone ».
A partir de là, il vous sera demandé de synchroniser la « Clef Wave » avec l’application. La Clef Wave est un code barre en mouvement qui apparaît à la fois sur l’écran de votre ordinateur et dans l’application mobile. Votre téléphone utilise la caméra intégrée pour synchroniser ce code barre. Cela permet de vérifier votre identité, sans jamais avoir à taper votre mot de passe. Plutôt malin, non?
La configuration est minimale, et se résume à choisir un numéro d’identification (code PIN) dans l’application mobile pour la connexion à vos comptes WordPress. Ceci fait, le procédé est simple. Il suffit d’utiliser la connexion avec l’option téléphone mobile et vous serez connecté automatiquement à votre site. Vous pouvez utiliser ce plugin pour vous connecter à tous vos sites WordPress. Et quand vous avez terminé, vous pouvez vous déconnecter de tous les sites en une fois, aussi simplement.
Google Authenticator
Une autre option, pour votre site est Google Authenticator. Ce plugin ajoute la puissance de l’application Google Authenticator à votre site WordPress. Nombre de propriétaires de sites utilisent déjà cette application sur leurs smartphones pour activer l’authentification à deux facteurs sur d’autres applications et des sites Web tels que Gmail et Amazon. Il serait judicieux de tirer parti de ce plugin par pure commodité.
Avec ce plugin, vous pouvez ajouter l’authentification à deux facteurs pour les utilisateurs, les administrateurs, ou n’importe quel rôle utilisateur. Il y existe une fonction de mot de passe intégrée à l’application, mais elle rend l’application moins sûre, ce qui signifie que votre site WordPress deviendra moins sûr également. La meilleure idée est d’utiliser le protocole d’authentification par défaut pour maintenir un niveau de sécurité élevé.
Duo Two-Factor Authentication
Le plugin Duo Two-Factor Authentication, de Duo Security, simplifie l’intégration du processus à votre site WordPress, grâce à une configuration minimale. Voici comment le plugin fonctionne:
- Installez et activez le plugin sur votre site
- Téléchargez l’application pour votre smartphone
- Sélectionnez les utilisateurs (ou les rôles utilisateurs) pour lesquels votre site demandera l’utilisation de l’authentification à deux facteurs.
Côté utilisateur, l’utilisation de Duo Two-Factor Authentication est relativement simple. Après avoir entré votre nom d’utilisateur et votre mot de passe, vous êtes redirigé vers un second écran qui vous présentera plusieurs options de vérification de votre identité. Par exemple, vous pouvez opter por la confirmation au travers de l’application mobile. Une fois cette option sélectionnée, un message apparaît sur votre téléphone et tout ce que vous avez à faire est de « Valider ».
Une autre option consiste à utiliser un mot de passe unique qui est généré sur l’application mobile, puis envoyé à votre téléphone par SMS. Comme autres options il y a l’appel vocal et un code d’authentification généré par un code matériel.
Rublon
Rublon est un autre plugin d’authentification à deux facteurs, vous devez configurer les appareils à partir desquels vous pouvez accéder à la zone d’administration, tels que PC à la maison, PC au travail, téléphone mobile, etc…, il refusera les connexions provenant de tous périphériques absents de votre « liste de confiance ». Vous pouvez mettre cette liste à jour à tout moment, et Rublon enverra un courriel au compte de messagerie paramétré, pour confirmer le nouveau dispositif.
Après avoir téléchargé et activé le plugin, vous verrez le plugin Rublon le vérifier lors de la connexion et vous pourrez ensuite visiter le menu « des périphériques de confiance » et de voir votre ordinateur dans la liste.
Connectez vous comme d’habitude, vous serez alors redirigé vers un écran qui vous obligera à télécharger l’application Rublon sur votre mobile. Une fois l’application installée, entrez votre adresse e-mail et cliquez sur enregistrer. Rublon vous enverra un e-mail pour activer le compte.
Si vous avez activé l’authentification mobile et que vous essayez de vous connecter à partir d’un nouveau navigateur, vous verrez le QR code apparaître à l’écran. Vous devez alors utiliser l’application Rublon de votre téléphone pour scanner le code à l’écran afin de vous authentifier.
Rublon est une excellente plugin, très facile à utiliser et complètement gratuit. Si vous cherchez à ajouter une couche de sécurité supplémentaire à votre site WordPress, Rublon vaut bien le coup d’oeil, de nombreux site de commerce électronique l’ont choisi pour protéger l’accès aux données sensibles.
Two Factor Auth
Si vous êtes à la recherche d’une solution simple, Two Factor Auth peut faire l’affaire. Il fonctionne en créant un mot de passe temporaire que vous devez entrer dans un laps de temps donnée avant qu’il ne devienne invalide. Ces mots de passe sont généralement envoyés à votre adresse e-mail.
Il fonctionne également avec des applications tierces comme Google Authenticator afin d’ajouter une couche de sécurité supplémentaire. Two Factor Auth un moyen simple d’ajouter plus de sécurité à votre site, sans avoir à faire face à une configuration longue et complexe.
Two-Factor Authentication – Clockwork SMS
Two-Factor Authentication – Clockwork SMS, comme son nom l’indique, ce plugin fonctionne en envoyant un code par SMS à votre téléphone, lorsque vous essayez de vous connecter à votre site WordPress.
Vous pouvez le configurer pour des rôles spécifiques d’utilisateurs ou des utilisateurs individuels, si vous le souhaitez. Vous aurez besoin d’un compte Clockwork SMS, avec un peu de crédit, pour utiliser ce plugin. Vous l’aurez compris, ce plugin est gratuit, mais son utilisation est payante. Certains utilisateurs trouvent qu’il vaut mieux payer pour obtenir un SMS plutôt que d’ajouter une application externe.
Authy Two Factor Authentication
Authy est encore un plugin gratuit que vous pouvez utiliser pour sécuriser votre site. Une fois le plugin installé, il vous suffit de vous enregistrer pour obtenir une clé API gratuite sur le site d’Authy. Entrez la clé API dans la configuration du plugin et c’est tout. Votre identité est vérifiée au moyen d’un message sur votre téléphone mobile.
Il propose en fait de nombreuses autres fonctionnalités, comme par exemple donner aux utilisateurs la liberté de d’opter pour la double authentification ou alors en tant qu’administrateur, vous pouvez forcer tous les utilisateurs à utiliser cette option, ou vous pouvez sélectionnez les rôles qui seront soumis à cette vérification.
L’authentification à deux facteurs incluse dans une solution de sécurité
L’authentification à deux facteurs est souvent une fonctionnalité incluse dans les plugin de sécurité. Pour cette raison, vous pourriez opter pour ce genre de plugin, car ils couvrent un plus grand nombre de points de sécurité, tout en incluant une partie authentification.
« Pourquoi utiliser deux plugin lorsque vous pouvez n’en utiliser qu’un seul?«
En fait, il y a de très bonnes raisons d’utiliser un plugin d’authentification dédié si vous le souhaitez, mais si pour vous, la vitesse du site est primordiale ou que vous souhaitez simplement limiter le nombre de plugin , une solution tout-en-un sera idéale.
Quelques plugin de sécurité qui incluent la double authentification:
iThemes Security Pro
iThemes Security Pro couvre de nombreuses fonctions de sécurité, et comprend l’authentification à deux facteurs. Curieusement, il travaille avec Google Authenticator. Il vous faut donc avoir l’application Google Authenticator installée sur votre mobile, vous pouvez la configurer avec le plugin d’iThemes.
Ainsi, vous pourrez vous connecter en utilisant votre nom d’utilisateur et votre mot de passe habituel ou alors être invité à entrer un code de vérification que Google Authenticator génère automatiquement. Ce code ne fonctionne que pour une seule connexion et n’est valable que 30 secondes.
Wordfence
Wordfence est un plugin de sécurité robuste comprennant une variété de fonctionnalités qui permettent de garder votre site et son contenu, en sécurité. Par exemple, il effectue des contrôles réguliers pour assurer que votre site est pas infecté par des malwares. Il promet également de rendre votre site jusqu’à 50 fois plus rapide, je n’ai pas pu le vérifier.
L’authentification à deux facteurs est également incluse, et utilise la connexion par téléphone mobile, selon la description du plugin, la vérification par SMS étant ce qui le diffère d’un processus de connexion standard.
Le mot de la fin
L’authentification à deux facteurs est de plus en plus importante pour les propriétaires de sites WordPress. Elle fournit une couche de sécurité supplémentaire, celle-ci étant de plus en plus nécessaire.
Ne nous voilons pas la face, les pirates sont partout. Il y aura toujours quelqu’un pour essayer de pénétrer dans votre site, pour une raison ou une autre. Mieux vaut accepter ce fait et se préparer, plutôt que de rester les bras croisés en espérant qu’il ne se produira rien.
Vous avez à présent une assez bonne idée de la façon d’installer l’authentification à deux facteurs sur votre site WordPress. Si vous avez des questions, poser les dans les commentaires. Si vous connaissez une meilleure solution, où un autre système, je suis tout ouïe!
Cet article vous a été utile? Partagez le, Merci!
Publié à l'origine le : 12 novembre 2014 @ 16 h 19 min