J'ai récemment commencé à utiliser 2FA sur un tas de services et je ne sais pas comment stocker au mieux les codes de récupération. Je peux penser à 3 options:
Tous semblent cependant avoir leurs pièges respectifs:
Dans le cas de lastpass: Mes mots de passe sont tous des chaînes aléatoires d'environ 20 à 30 caractères (basées sur les politiques de mot de passe des services). Je doute donc que quiconque puisse deviner ou forcer brutalement un mot de passe sur l'un de mes comptes. Par conséquent, la manière la plus probable d'avoir un compte compromis est si quelqu'un compromet lastpass - auquel cas 2FA serait inutile si les codes de sécurité y étaient également stockés.
Dans le cas de Dropbox: La raison la plus probable pour laquelle j'aurai besoin des codes de sécurité est si je perds mon téléphone - mais je ne pourrai pas accéder à Dropbox de toute façon parce que j'ai également activé 2FA, donc ces codes de récupération seront tous essentiellement perdus .
Dans le cas d'une clé USB: Cela ressemble à l'équilavent d'écrire des mots de passe sur des notes post-it - faciles à perdre/oublier ou peuvent tout simplement ne pas fonctionner 10 ans plus tard lorsque cela est nécessaire.
Sur les 3, la clé USB semble être la meilleure option, mais je me demandais si quelqu'un avait trouvé une meilleure façon de stocker les codes de récupération? Aussi, si le stockage physique est le chemin à parcourir, existe-t-il un support préférable pour cela? Peut-être une sorte de stockage durable sur une longue période et susceptible de rester pertinent à l'avenir?
Tout d'abord, clarifions que les codes de récupération 2FA sont utilisés pour contourner 2FA lui-même.
L'objectif principal de 2FA est de s'assurer que vous fournissez un secret à partir de deux "canaux" différents, par exemple, quelque chose que vous savez ou quelque chose que vous avez. Le mot de passe est quelque chose que vous connaissez et les codes de récupération, s'ils sont conservés en mémoire (votre cerveau ou le disque dur de votre ordinateur), vous le savez également. Sans entrer dans trop de discussions sur la sécurité de ces codes de récupération, il me semble évident que le facteur "quelque chose que vous avez" fonctionne mieux lorsqu'il est complètement en dehors du monde virtuel. Autrement dit, conserver les codes dans un morceau de papier, ou de petits morceaux de papier pour chaque code, peut être la meilleure option à mon humble avis. Le chiffrement et le stockage clairs dans le cloud ou dans un ordinateur/appareil/USB séparé peuvent fonctionner, mais vous devez éventuellement déchiffrer et accéder à ces codes en texte brut. En cas d'urgence, cela peut ne pas être idéal ou si vos systèmes/réseaux ont été compromis, les codes non chiffrés peuvent être accessibles à un attaquant. Par conséquent, je pense que si vous imprimez le code et le conservez dans votre portefeuille par exemple, vous conservez les propriétés sécurisées de 2FA. Il se peut que vous deviez reconsidérer votre voyage si vous voyagez en avion, car les fonctionnaires pourraient vous forcer à fournir votre mot de passe et à confisquer votre portefeuille. Alors juste une note à savoir :)
Option 4: imprimez-les sur papier (non numérique) et conservez-les dans un endroit sûr.
Je garde mes mots de passe dans un gestionnaire de mots de passe de stockage local, avec une sauvegarde sur un autre appareil, car en tant que dinosaure plutôt ancien, je ne fais pas vraiment confiance au cloud pour une confidentialité élevée. De même dans ma vraie vie, je porte mes clés de maison dans ma poche, et ne les laisse pas dans un pot de fleur pour les retrouver juste quand j'en ai besoin.
Avec ce processus, je conserve les codes de récupération dans le coffre du gestionnaire de mots de passe avec les informations d'identification.
Analyse de risque:
À mon humble avis, il peut être judicieux de conserver les codes de récupération même au même endroit que les informations d'identification, car j'ai dû les utiliser après un problème lors de la modification d'un mot de passe: le serveur a enregistré un mot de passe que j'ai mal tapé, donc personne (pas même moi) je le savais.
Pour votre cas d'utilisation, le coffre de mots de passe est dans le cloud. Je ne stockerais pas les codes de récupération dans le coffre-fort car l'accès est déjà protégé 2FA via votre téléphone. Je voudrais soit configurer un accès de sauvegarde à partir d'un deuxième appareil, soit revenir au bon vieux papier dans un coffre-fort physique.
Je garde le mien dans un document crypté stocké sur iCloud. L'authentification à deux facteurs est activée sur le compte iCloud, mais j'ai quatre appareils enregistrés et je pense que les chances de perdre mon ordinateur portable, mon ordinateur de bureau, mon téléphone et ma tablette simultanément sont assez faibles. Naturellement, j'ai le mot de passe de cryptage et le mot de passe iCloud enregistrés dans la mémoire.