Aussi appelée authentification forte, l'authentification à deux facteurs est une mesure de sécurité forçant l'utilisateur à prouver deux fois de suite son identité avant d'accéder au service désiré. En plus du mot de passe, on peut ainsi lui demander une réponse à une phrase secrète, une empreinte digitale, un code envoyé par SMS ou écrit sur une carte.
Depuis 2019, les paiements de plus de 30 euros nécessitent une authentification forte. Cette mesure a été rendue obligatoire par l'Union Européenne auprès des banques, afin de limiter le risque de vol et de fraude en améliorant la sécurité des paiements.
Pourquoi la double authentification devient-elle la norme ?
L'utilisation des mots de passe pour se connecter à une application est l'usage le plus courant pour protéger le compte de son utilisateur. Cependant, c'est une sécurité bien vulnérable, puisque celui-ci peut être transmis à un tiers ou piraté. En effet, il existe de très nombreuses techniques pour réussir à obtenir les identifiants (par le biais de faux formulaires par exemple) et de nombreuses bases de données ayant fuité et comportant des informations sensibles d'utilisateurs circulent très largement. Par ailleurs, de nombreuses personnes réutilisent leur mot de passe, augmentant ainsi le risque de piratage.
En optant pour l'authentification forte, il devient plus difficile d'accéder au compte de l'utilisateur, tout simplement car il est plus difficile d'obtenir des informations très privées ou qui nécessitent de disposer du téléphone mobile de la personne en question.
Pourquoi mettre en place ce système sur son application ?
Comme nous l'avons vu, la double authentification garantit une meilleure protection des accès de vos utilisateurs et diminue ainsi le risque de piratage. Si la mise en place de ce système d'authentification peut paraître contraignante, rappelons qu'il apporte surtout une tranquillité de l'esprit ainsi qu'un gage de sérieux vis à vis de vos utilisateurs.
De plus, les plus grands groupes proposent l'authentification à double facteurs. Citons ainsi Facebook ou Google où généralement un code temporaire permettant de s'authentifier est envoyé par SMS (c'est un OTP, ou autrement dit un mot de passe à usage unique). Citons également Apple, Microsoft, Dropbox, ainsi que les services bancaires en général, soit des services très grand public. Bref, vos utilisateurs ou futurs utilisateurs ont désormais bien l'habitude de se plier à cet exercice !
Elao peut vous accompagner pour trouver des solutions fonctionnelles et techniques pour sécuriser votre application.
Aller plus loin
En savoir plus sur wikipédia :