Google a déjà annoncé le support des ses services sur Security Key, un système d’authentification basé sur des clés USB compatibles avec le standard FIDO U2F.
En bref, sur n’importe quel PC doté d’un navigateur Chrome (à partir de la version 38), vous pouvez utiliser ces clés USB spéciales pour effectuer une authentification à deux facteurs.
Le mode d’utilisation de la clé de sécurité FIDO U2F
La procédure est la suivante :
- Vous achetez une clé compatible FIDO.
- Suivez l’assistant pour l’associer à un compte Google.
- Insérez la clé dans le port USB du PC lorsque vous y êtes invités, c’est-à-dire après avoir entré le mot de passe.
Il faut que 5 minutes pour commencer à l’utiliser. La clé de sécurité est utilisée comme alternative à la vérification par code SMS et peut être remplacée par celle-ci lorsqu’elle n’est pas avec vous. Chaque clé FIDO U2F peut être associée à plusieurs compte Google et peut également être utilisée pour s’authentifier sur d’autres services en ligne, et pas seulement sur Gmail, Youtube, etc.
Elle ne fonctionne pas, du moins officiellement, pour s’authentifier auprès de Google Apps, et ne peut pas être utilisée sur les tablettes Androïd et les smartphones dotés d’un port USB de taille standard.
Elle ne fonctionne pas même avec un adaptateur microUSB OTG, même si la définition du mode bureau sur une tablette Chrome sur Android fait toujours apparaître la demande d’insertion du jeton USB.
6 euros pour une meilleure protection offerte
Vous pouvez faire un test avec la clé de sécurité FIDO U2F de plug-up, la moins chère disponible actuellement, en vente sur Amazon pour 6 euros.
C’est un produit français qui arrive dans quelques jours avec un envoi postal commun. Il est basé sur la puce ST23YT66 et, comme tout appareil similaire, il utilise une ROM préprogrammée qui ne nécessite ni configuration ni initialisation. Dans le cas de Google, enregistrez-le en suivant la procédure indiquée par la société.
La clé de sécurité offre une plus grande protection que celle du PIN par SMS et c’est parce qu’il ne nécessite pas votre interaction pour entrer dans le code (qui peut, dans certaines conditions, d’entrer dans un site qui n’est pas ce qu’il prétend d’être -phishing-).
C’est également un appareil passif qui ne doit pas être chargé (comme un smartphone) pour fonctionner.
En cas de vol, annulez le couplage avec le compte Google créé au moment de la configuration pour le rendre inutile.