2FA WordPress et Raidboxes

Qu'est-ce que l'authentification à deux facteurs et comment peux-tu l'utiliser sur Raidboxes ?

Dès maintenant, tu peux sécuriser ton compte Raidboxes avec l'authentification à deux facteurs (2FA). Nous expliquons dans cet article pourquoi l'authentification à deux facteurs est si efficace pour WordPress, ta connexion à Raidboxes Dashboard ou d'autres de tes accès en tant que mesure de sécurité, et comment l'authentification à deux facteurs fonctionne. 

Le cauchemar des connexions non autorisées

Bien sûr, comme nos vies se déroulent de plus en plus en ligne, ce serait un cauchemar absolu si quelqu'un devait accéder à un ou même à tous vos comptes. Imaginez qu'une entreprise à qui vous avez confié vos informations financières ou personnelles soit piratée ou qu'une fuite de données soit rendue publique. Heureusement, il n'y a pas que les criminels en ligne qui sont devenus plus ingénieux : la cybersécurité pour se protéger contre les agresseurs s'améliore également. Et le dernier cri en matière de sécurité comprend l'authentification à deux facteurs (2FA).

En tant qu'hébergeur WordPress, nous accordons une grande importance à la sécurité et nous travaillons en permanence à l'intégration de nouvelles fonctionnalités de sécurité. Pour rendre Raidboxes Dashboard encore plus sûr, l'authentification à deux facteurs est désormais disponible pour nos clients. 

Qu'est-ce que la 2FA et pourquoi est-elle si importante ?

Pour mieux expliquer pourquoi l'authentification à deux facteurs est si importante pour la sécurité des données aujourd'hui, permettez-moi d'abord de définir ce que l'authentification à deux facteurs n'est pas.

Tout d'abord, 2FA n'est pas un mot de passe, du moins pas vraiment. Si vous parlez à des experts, ils vous diront probablement : "L'époque où un mot de passe suffisait pour empêcher l'accès non autorisé à votre site web est révolue depuis longtemps - si tant est qu'il ait jamais bien fonctionné".

La raison ? L'erreur humaine.

L'imprudence dans l'attribution des mots de passe

Une analyse récente a examiné plus de 1,4 milliard de mots de passe piratés et a découvert que beaucoup d'entre eux sont d'une simplicité effrayante. Un certain nombre de personnes ont même été si négligentes qu'elles ont utilisé "11111", "12345" ou le bon vieux "mot de passe". Ceux qui utilisent un tel mot de passe ne devraient pas s'étonner de voir leurs comptes piratés. Si tu veux savoir exactement quels sont les mots de passe les plus utilisés et combien de temps il faut pour les craquer, consulte le "Top 200 most common passwords of the year 2020" de Nordpass. 

Un autre problème que nous ne pouvons pas oublier est le recyclage des mots de passe. Avec des dizaines d'applications, de comptes, de sites web et d'appareils qui nous demandent des informations d'identification, il est évidemment fastidieux de se souvenir de mots de passe uniques pour chaque accès. Mais si vous utilisez le même mot de passe pour plusieurs - ou même tous - vos comptes, vous prenez un grand risque. Car si vous craquez un de vos comptes, vous avez automatiquement accès à tous les autres. 

Votre introduction à la 2FA

À première vue, l'authentification à deux facteurs ressemble à un processus de connexion typique. Pour accéder à un site web ou à une application, il vous sera demandé d'entrer votre nom d'utilisateur et votre mot de passe. Mais ce n'est que la première étape. Ensuite, on vous demandera une autre information - en plus de votre nom d'utilisateur et de votre mot de passe. La plupart du temps, ces informations complémentaires proviennent d'une de ces catégories :

  • Connaissances personnelles : En plus du mot de passe, on te demandera d'autres informations que toi seul connais - par exemple un code PIN, des réponses à des "questions secrètes" auxquelles tu as déjà répondu ou un modèle de déverrouillage sur l'écran de ton téléphone portable. 
  • Informations du monde réel : on vous demande des informations que vous seul pouvez récupérer - par exemple, un code sensible au temps envoyé à votre adresse électronique ou par SMS. 
  • Informations biométriques : Par exemple, il peut vous être demandé de fournir une empreinte digitale, un scanner de la rétine ou une empreinte vocale.

L'authentification à deux facteurs signifie qu'aucun mot de passe n'est suffisant pour que les pirates informatiques puissent pirater votre connexion. Ainsi, si vous perdez votre téléphone ou si votre mot de passe est volé, la 2FA signifie que les cybercriminels ne peuvent pas accéder à vos données sans connaître, par exemple, le nom de votre premier animal de compagnie ou la rue où vous avez grandi.

Authentification à deux facteurs et sécurité WordPress

Il y a une raison pour laquelle ce sont généralement les grandes entreprises qui sont attaquées par les pirates informatiques : C'est là que se trouvent la plupart des données. WordPress représente 64 % du marché des CMS, ce qui en fait un environnement où une faille de sécurité peut entraîner la transmission d'un grand nombre de données.

Saviez-vous que près de 40 pour cent de tous les sites web fonctionnant sur WordPress ? Cela fait beaucoup de sites web que les pirates peuvent explorer à la recherche de vulnérabilités.

Une autre raison pour laquelle WordPress attire les pirates informatiques est la popularité du système de gestion de contenu. Le site WordPress étant très facile à utiliser, vous pouvez le mettre en service sans grande expérience préalable. Il existe donc un certain nombre d'utilisateurs relativement inexpérimentés de WordPress dont les sites web ne sont pas correctement sécurisés, ni mis à jour, et qui fournissent ainsi des portes dérobées aux attaquants.

Voici comment créer des mots de passe sûrs

Avant tout, vous devez utiliser des mots de passe forts. Mais comment trouver un bon mot de passe dont vous pouvez encore vous souvenir ? Le rédacteur en chef de How-To Geek, Chris Hoffmann, a un bon tuyau pour vous :

"Vous trouverez peut-être plus facile de vous souvenir d'une phrase comme "La première maison dans laquelle j'ai vécu était le 613 Fake Street. Le loyer était de 400 dollars par mois". Vous pouvez transformer cette phrase en mot de passe en utilisant les premiers chiffres de chaque mot, de sorte que votre mot de passe devienne TfhIeliw613FS.Rw$4pm. Il s'agit d'un mot de passe fort à 21 chiffres. Bien sûr, un vrai mot de passe aléatoire peut comporter quelques chiffres et symboles supplémentaires et des lettres majuscules brouillées, mais ce n'est pas mal du tout.

Toutefois, vos mots de passe doivent être non seulement sûrs, mais aussi uniques. Avec un nombre correspondant de comptes, votre mémoire sera mise à l'épreuve. Mais ne vous inquiétez pas : il existe de nombreux gestionnaires de mots de passe qui non seulement gèrent vos mots de passe, mais génèrent également des mots de passe uniques et complexes pour chaque nouveau compte. Mais là encore, les mots de passe sont limités dans leur capacité à protéger votre travail et vos données. Revenons donc à l'authentification à deux facteurs.

Comment fonctionne l'authentification à deux facteurs ?

Jeton matériel 

C'est la forme originale de la 2FA, où vous recevez un porte-clés qui génère un nouveau code toutes les 30 secondes. Lorsque vous voulez vous connecter au site web correspondant, vous vérifiez le code actuel et vous le saisissez. Une autre forme est une clé USB qui entre automatiquement un code 2FA dans l'ordinateur lorsqu'elle est branchée.

Ces options matérielles sont meilleures que pas de 2FA du tout, mais malheureusement pas beaucoup mieux. Parce qu'ils sont faciles à perdre, coûteux à produire et à distribuer pour les entreprises, et certainement pas impossibles à pirater.

SMS et voix 2FA 

Avec cette variante d'authentification à deux facteurs, tu t'inscris avec ton nom et ton mot de passe et tu reçois ensuite un SMS ou un message vocal avec un code d'accès unique (OTP). Tu dois le saisir pour terminer ton inscription. Ce type de 2FA est très répandu, même si ce n'est pas encore la solution idéale. En 2017, par exemple, un groupe de hackers white hat a réussi à "détourner" un portefeuille Bitcoin en interceptant des SMS 2FA.

Jetons de logiciels

La forme de 2FA de loin la plus populaire aujourd'hui est l'utilisation d'un mot de passe à usage unique basé sur le temps (time-based one-time password, TOTP en abrégé), généré par un programme logiciel, également appelé "jeton souple".

Avec cette méthode d'authentification à deux facteurs, vous téléchargez d'abord une application 2FA gratuite - sur votre smartphone ou votre ordinateur. Une fois installée, cette application fonctionnera avec tout site web qui supporte l'authentification TOTP. Une fois que vous avez activé 2FA via TOTP pour un de vos identifiants, il vous suffit de vous connecter avec votre nom d'utilisateur et votre mot de passe. Vous serez ensuite invité à entrer un code qui sera envoyé à l'application que vous avez installée. Ce code expire généralement au bout de 60 secondes. 

Comme le code est généré et affiché sur le même appareil, il n'y a aucune chance que des pirates l'interceptent. De plus, ces applications fonctionnent également hors ligne. Vous n'êtes donc pas dépendant du réseau mobile, comme c'est le cas avec le 2FA par SMS. 

2FA Notifications Push

Une autre version de plus en plus courante de la 2FA est celle des notifications "push". Ces systèmes fonctionnent de la manière suivante : vous êtes averti par les sites web et les applications lorsqu'une tentative de connexion est faite. Il vous suffit de confirmer ou de refuser en un clic, et voilà, vous êtes connecté sans mot de passe ou jeton supplémentaire.

Toutefois, cette version de 2FA ne fonctionne que si vous et le site web disposez d'une connexion directe et sécurisée.

Quelle application 2FA pouvez-vous utiliser ?

Il existe d'innombrables applications que vous pouvez utiliser pour l'authentification TOTP décrite ci-dessus. Pour vous débarrasser un peu de la jungle, je vous ai apporté deux exemples :

Si vous utilisez Android, par exemple, l'application etOTP est un bon choix. Il offre la possibilité de définir un mot de passe pour ouvrir l'application et pour créer et crypter des sauvegardes. Par exemple, chaque fois que vous ajoutez ou supprimez un nouveau service, vous pouvez sauvegarder une sauvegarde cryptée sur votre cloud privé, de sorte que vous n'aurez pas de problème lorsque vous changerez d'appareil mobile. L'intégration avec 1Password ou d'autres gestionnaires de mots de passe fonctionne également avec andOTP sans aucun problème.

Comme andOTP n'est pas disponible pour iOS, Twilio Authy est un bon choix pour les utilisateurs d'Apple. Les avantages : Authy propose des services de sauvegarde dans l'iCloud ou via Google Drive et est régulièrement soumis à des tests de sécurité intensifs.

En outre, vous pouvez générer des codes TOTP avec la plupart des gestionnaires de mots de passe. Si vous utilisez 1Password, par exemple, ce guide vous aidera pas à pas

Authentification à deux facteurs chez Raidboxes

Dès maintenant, tu peux activer l'authentification à deux facteurs pour un compte Raidboxes en plus de ton login normal. Si le 2FA est activé, tu dois, en plus de ton mot de passe, saisir un autre code lorsque tu te connectes au RB-Dashboard , code que tu reçois au choix par mail, SMS ou via une application d'authentification. 

L'utilisation de la fonctionnalité 2FA est gratuite et optionnelle pour tous les clients:in Raidboxes . Mais nous te recommandons vivement d'activer cette protection supplémentaire. En effet, une personne qui se connecte de manière non autorisée à ton compte Raidboxes aurait non seulement accès à tes données, mais aussi à celles de tes clients - par exemple si tu gères des pages de clients en tant qu'administrateur.

2FA via l'application, le courrier ou les SMS

L'authentification à deux facteurs est possible sur Raidboxes via trois méthodes :

  • App : Pour utiliser notre fonction 2FA, vous pouvez utiliser n'importe quelle application d'authentification qui supporte TOTP. Par exemple, nous recommandons andOTP (pour Android) ou Authy (pour iOS).
  • E-mail : Si tu souhaites utiliser 2FA par mail, tu recevras tes codes d'authentification à l'adresse e-mail avec laquelle tu es inscrit sur Raidboxes .
  • SMS : si vous avez au moins un contrat payant, vous pouvez également utiliser 2FA par SMS. (Le numéro de téléphone portable que vous fournissez n'est pas enregistré dans notre système. Nous ne pouvons donc pas voir quel numéro vous utilisez pour 2FA).
l'authentification à deux facteurs

Après avoir activé l'authentification à deux facteurs pour ton compte Raidboxes (nous expliquons comment faire dans cet article d'aide), tu devras donc à l'avenir saisir un code supplémentaire lorsque tu te connecteras, code qui te sera envoyé via la méthode que tu auras choisie.

Vous devez également entrer un code 2FA pour désactiver la fonction. Si jamais vous deviez vous bloquer hors de votre compte, il vous suffit de contacter notre support via le chat en direct. 

A qui s'applique le 2FA sur Raidboxes?

Chez nous, tu actives l'authentification à deux facteurs en quelques clics via les paramètres de ton compte. Note que la protection 2FA avec Raidboxes ne s'applique qu'au compte pour lequel tu l'as activée - pas aux boîtes individuelles ou à leurs administrateurs.

Cependant, pour protéger au mieux tes données (et celles de ton entreprise), nous recommandons expressément que tous les utilisateurs:-trices sécurisent leur accès Raidboxes avec 2FA.

Et que dire de 2FA pour WordPress ?

Nous tenons à rappeler ici que notre fonction 2FA ne s'applique qu'à ton compte Raidboxes et non à ton login WordPress. Il existe cependant de nombreux plugins WordPress 2FA qui te permettent de sécuriser ton login WordPress.

Qu'est-ce que l'authentification à deux facteurs et comment peux-tu l'utiliser sur Raidboxes ?
Google Authenticator WordPress Plugin dans l'annuaire WP Plugin

Par exemple, le plugin "Google Authenticator - WordPress Two Factor Authentication" avec plus de 20 000 installations actives. Ou "Two Factor Authentication" - également avec plus de 20.000 utilisateurs - des créateurs du plugin de sauvegarde populaire "UpdraftPlus". Tu trouveras facilement d'autres plugins 2FA dans le répertoire officiel des plugins WordPress ou dans ton WordPress Dashboard sous Plugins > Installer

Notre conclusion

Nous sommes fiers que Raidboxes Dashboard soit encore plus sûr pour nos utilisateurs grâce à l'authentification à deux facteurs. Bien que l'activation du 2FA ne soit pas obligatoire chez nous, nous espérons que les avantages mentionnés t'ont convaincu. En effet, en demandant un code 2FA supplémentaire, tu ajoutes un niveau de sécurité supplémentaire à ton compte et tu t'assures que tes données (et celles de tes clients) sont encore mieux protégées contre les accès non autorisés.

Vos commentaires sont les bienvenus !

Si tu as d'autres questions sur l'authentification à deux facteurs ou sur l'utilisation de la fonctionnalité 2FA sur Raidboxes, n'hésite pas à nous laisser un commentaire - ou à contacter notre chat en direct !



As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.