Je vais vous raconter une histoire : l'année dernière, un fren a vu le mot de passe de son compte sur la plateforme d'échange compromis, mais grâce à l'authentification Google, le Hacker n'a pas pu y accéder. L'argent économisé était suffisant pour qu'il puisse acheter une voiture.

C'est la valeur de la double vérification - ce n'est pas pour vous apprendre la cryptographie, c'est pour vous faire perdre moins d'argent.

Le principe en trois phrases : lorsque vous scannez le code, vous stockez une clé, la plateforme d'échange en stocke également une, et les deux parties calculent le même numéro à 6 chiffres toutes les 30 secondes en utilisant la même formule. Il est possible de le calculer hors ligne, donc c'est le plus sûr. Le Hacker ne possède pas votre clé, il ne pourra jamais trouver le code de vérification, peu importe combien de fois il essaie.

Conseils pratiques : Trouvez un ancien téléphone, retirez la carte SIM, déconnectez-vous d'internet, désactivez le WiFi, et installez spécialement Google Authenticator. Cela s'appelle "isolement à l'air", une protection de niveau militaire, le coût est juste un ancien appareil qui prend la poussière. Il peut être testé, copié et utilisé immédiatement.

N'utilisez plus la vérification par SMS, le détournement SS7, la clonage de carte SIM, trop de failles. De même pour les e-mails, les attaques par phishing et les violations de bases de données sont inévitables.

En y regardant de plus près, le Passkey remplacera progressivement le TOTP. Il utilise un cryptage asymétrique, la clé privée ne quitte jamais votre appareil, le serveur ne stocke que la clé publique, donc même en cas de vol de données, ce n'est pas grave. Mais sa généralisation prendra encore quelques années, pour l'instant, utiliser un vérificateur hors ligne est suffisant.

Un vieux téléphone, économiser l'argent d'une voiture, tout le monde peut comprendre ce calcul.