Envoyer un code à usage unique par e-mail est pire qu’un mot de passe
(blog.danielh.cc)- De nombreux services ont récemment adopté la connexion par code à 6 chiffres basé sur l’e-mail ou le numéro de téléphone
- il suffit de saisir son e-mail ou son numéro de téléphone pour recevoir un code de vérification à 6 chiffres, puis de l’entrer pour se connecter
- Cette méthode introduit de graves vulnérabilités pour la sécurité des comptes
- un attaquant peut simplement saisir l’adresse e-mail d’une autre personne dans un service légitime pour demander l’envoi d’un code de vérification
- l’utilisateur a alors du mal à savoir si le code reçu correspond réellement à une action légitime ou à une tentative de phishing
- les outils classiques de protection contre le phishing, comme les password managers (gestionnaires de mots de passe), deviennent inefficaces
- Cette méthode par code de vérification fait effectivement l’objet d’abus répétés
- une approche similaire est utilisée pour la connexion aux comptes Minecraft opérée par Microsoft
- de nombreux cas de vol de comptes ont été signalés sur Reddit, YouTube et dans diverses communautés et médias en ligne
Conclusion
L’authentification par e-mail avec un code à 6 chiffres est, du point de vue de la sécurité, plus fragile qu’on ne le pense
- par rapport au mot de passe classique, elle augmente fortement le risque de phishing
- présentée comme une amélioration de l’expérience utilisateur ou de la sécurité, elle peut en réalité produire un résultat pire
Aucun commentaire pour le moment.