web-dev-qa-db-fra.com

Meilleures pratiques pour le stockage des codes de récupération 2FA

J'ai récemment commencé à utiliser 2FA sur un tas de services et je ne sais pas comment stocker au mieux les codes de récupération. Je peux penser à 3 options:

  • Dans une note sécurisée sur LastPass
  • Dans un dossier Dropbox
  • Sur une clé USB

Tous semblent cependant avoir leurs pièges respectifs:

Dans le cas de lastpass: Mes mots de passe sont tous des chaînes aléatoires d'environ 20 à 30 caractères (basées sur les politiques de mot de passe des services). Je doute donc que quiconque puisse deviner ou forcer brutalement un mot de passe sur l'un de mes comptes. Par conséquent, la manière la plus probable d'avoir un compte compromis est si quelqu'un compromet lastpass - auquel cas 2FA serait inutile si les codes de sécurité y étaient également stockés.

Dans le cas de Dropbox: La raison la plus probable pour laquelle j'aurai besoin des codes de sécurité est si je perds mon téléphone - mais je ne pourrai pas accéder à Dropbox de toute façon parce que j'ai également activé 2FA, donc ces codes de récupération seront tous essentiellement perdus .

Dans le cas d'une clé USB: Cela ressemble à l'équilavent d'écrire des mots de passe sur des notes post-it - faciles à perdre/oublier ou peuvent tout simplement ne pas fonctionner 10 ans plus tard lorsque cela est nécessaire.

Sur les 3, la clé USB semble être la meilleure option, mais je me demandais si quelqu'un avait trouvé une meilleure façon de stocker les codes de récupération? Aussi, si le stockage physique est le chemin à parcourir, existe-t-il un support préférable pour cela? Peut-être une sorte de stockage durable sur une longue période et susceptible de rester pertinent à l'avenir?

9
John Devitt

Tout d'abord, clarifions que les codes de récupération 2FA sont utilisés pour contourner 2FA lui-même.

L'objectif principal de 2FA est de s'assurer que vous fournissez un secret à partir de deux "canaux" différents, par exemple, quelque chose que vous savez ou quelque chose que vous avez. Le mot de passe est quelque chose que vous connaissez et les codes de récupération, s'ils sont conservés en mémoire (votre cerveau ou le disque dur de votre ordinateur), vous le savez également. Sans entrer dans trop de discussions sur la sécurité de ces codes de récupération, il me semble évident que le facteur "quelque chose que vous avez" fonctionne mieux lorsqu'il est complètement en dehors du monde virtuel. Autrement dit, conserver les codes dans un morceau de papier, ou de petits morceaux de papier pour chaque code, peut être la meilleure option à mon humble avis. Le chiffrement et le stockage clairs dans le cloud ou dans un ordinateur/appareil/USB séparé peuvent fonctionner, mais vous devez éventuellement déchiffrer et accéder à ces codes en texte brut. En cas d'urgence, cela peut ne pas être idéal ou si vos systèmes/réseaux ont été compromis, les codes non chiffrés peuvent être accessibles à un attaquant. Par conséquent, je pense que si vous imprimez le code et le conservez dans votre portefeuille par exemple, vous conservez les propriétés sécurisées de 2FA. Il se peut que vous deviez reconsidérer votre voyage si vous voyagez en avion, car les fonctionnaires pourraient vous forcer à fournir votre mot de passe et à confisquer votre portefeuille. Alors juste une note à savoir :)

7
user160362

Option 4: imprimez-les sur papier (non numérique) et conservez-les dans un endroit sûr.

4
Ben

Je garde mes mots de passe dans un gestionnaire de mots de passe de stockage local, avec une sauvegarde sur un autre appareil, car en tant que dinosaure plutôt ancien, je ne fais pas vraiment confiance au cloud pour une confidentialité élevée. De même dans ma vraie vie, je porte mes clés de maison dans ma poche, et ne les laisse pas dans un pot de fleur pour les retrouver juste quand j'en ai besoin.

Avec ce processus, je conserve les codes de récupération dans le coffre du gestionnaire de mots de passe avec les informations d'identification.

Analyse de risque:

  • compromission du coffre de mot de passe: l'attaquant doit à la fois voler mon téléphone (ou mon ordinateur) et deviner le mot de passe principal - sécurité globale au niveau 2FA
  • le coffre de mots de passe est perdu ou détruit: j'ai une sauvegarde (en fait 2), je devrais donc pouvoir la restaurer - mais je devrais changer tous mes mots de passe, y compris le maître et tous les codes de récupération si cela se produisait ...
  • la note (numérique) est perdue ou n'est plus lisible: j'utilise régulièrement le gestionnaire de mots de passe sur au moins 2 appareils différents, je devrais donc remarquer si l'un était en panne

À mon humble avis, il peut être judicieux de conserver les codes de récupération même au même endroit que les informations d'identification, car j'ai dû les utiliser après un problème lors de la modification d'un mot de passe: le serveur a enregistré un mot de passe que j'ai mal tapé, donc personne (pas même moi) je le savais.

Pour votre cas d'utilisation, le coffre de mots de passe est dans le cloud. Je ne stockerais pas les codes de récupération dans le coffre-fort car l'accès est déjà protégé 2FA via votre téléphone. Je voudrais soit configurer un accès de sauvegarde à partir d'un deuxième appareil, soit revenir au bon vieux papier dans un coffre-fort physique.

0
Serge Ballesta

Je garde le mien dans un document crypté stocké sur iCloud. L'authentification à deux facteurs est activée sur le compte iCloud, mais j'ai quatre appareils enregistrés et je pense que les chances de perdre mon ordinateur portable, mon ordinateur de bureau, mon téléphone et ma tablette simultanément sont assez faibles. Naturellement, j'ai le mot de passe de cryptage et le mot de passe iCloud enregistrés dans la mémoire.

0
Mike Scott