Keeper a annoncé qu’elle offrirait désormais à ses clients, particuliers et entreprises, la possibilité d’utiliser des clés de sécurité comme seule et unique méthode d’authentification à deux facteurs (2FA). Auparavant, le gestionnaire de mots de passe exigeait que les utilisateurs disposent d’une méthode de secours pour authentifier leur connexion s’ils choisissaient d’utiliser des clés de sécurité, mais ce n’est désormais plus le cas.
L’entreprise estime que l’utilisation de clés de sécurité physiques « améliore la sécurité globale en fournissant un deuxième facteur physique solide, en atténuant les attaques à distance et en réduisant la dépendance à l’égard des appareils mobiles ».
Les administrateurs de Keeper peuvent également imposer l’utilisation de clés de sécurité comme seule méthode d’authentification pour tous les utilisateurs de leur organisation, et même exiger l’utilisation d’un code PIN FIDO2 avec la clé de sécurité.
Keeper note que les méthodes classiques de 2FA, telles que les SMS et les mots de passe uniques basés sur le temps (TOTP), sont plus vulnérables que jamais, car les cybercriminels lancent des attaques de plus en plus sophistiquées pour saper ces méthodes, telles que le social engineering et l’échange de cartes SIM.
Pour cette raison, le National Institute of Standards and Technology (NIST) a même retiré l’utilisation des SMS pour l’authentification 2FA de sa liste des méthodes d’authentification recommandées.
Une activation dès maintenant
Craig Lurey, directeur technique de Keeper Security, a déclaré que « les cybercriminels sont créatifs et implacables dans leur mission de briser les solutions historiquement sécurisées », ce qui explique pourquoi « de nombreuses organisations passent à des dispositifs 2FA matériels tels que YubiKey ». Selon Lurey, ces dispositifs offrent « une méthode d’authentification simple et conviviale, mais hautement sécurisée ».
Les utilisateurs de Keeper peuvent ajouter plusieurs clés de sécurité à leur compte, ce qui leur permet d’avoir des clés de secours, ou d’avoir des clés différentes à différents endroits ou à utiliser avec différents appareils.
En se connectant à l’application Web ou de bureau de Keeper, les utilisateurs peuvent supprimer les autres méthodes d’authentification 2FA de leur compte s’ils ne veulent utiliser que des clés de sécurité. Une fois cette opération effectuée, les utilisateurs peuvent alors utiliser les clés de sécurité uniquement pour le 2FA avec leurs appareils iOS et Android.
