Google 2-step verification: premières expériences [fr]

[it] Ecco le mie prime esperienze d'utilizzo di "2-step verification", il nuovo strato di sicurezza proposto da Google per proteggere meglio il proprio conto Google.

Voici mes premières expériences d’utilisation de “2-step verification”, la nouvelle couche de sécurité mise en place par Google pour mieux protéger son compte Google.

Introduction

Google propose nombreux services (Gmail, Picasa Web, Google Docs, …) avec un seul profil ce qui est très pratique, mais aussi assez dangereux car il multiplie les risques en cas de piratage de son compte.
Pour améliorer la sécurité des comptes Google propose un système de sécurité plus avancé qui utilise toujours son identifiant Google et le mot de passe, et qui rajoute un code généré par son téléphone mobile.
Le résultat est très proche a celui de beaucoup de sites sensibles comme ceux des banques, une sécurité accrue via un petit appareil qui génère des codes de sécurité. La différence principale est d’utiliser le téléphone mobile, donc on a pas besoin de se promener avec un truc de plus, sans pour-autant avoir besoin d’une connexion (voix ou données), ce qui est le cas pour certains systèmes qui envoient le codes par SMS.

Activation

L’activation, selon les informations disponibles en ce moment, est possible uniquement pour les profil utilisant la version américaine du site (.com) et donc en anglais, de plus il semble qu’elle n’est pas encore disponible pour toutes les comptes, mais c’est juste une question de temps…

  1. tout commence sur la page de gestion de son profil
  2. si le compte peut activer la vérification en deux phases un lien est proposé: Using 2-step verification
  3. application mobile:
    1. installer l’application Google Authenticator (Android, iPhone et BlackBerry)
    2. rentrer le code secret en utilisant le code QR (capteur photo ou manuellement)
    3. vérifier le fonctionnement en utilisant le code affiché sur le téléphone mobile
  4. numéro téléphonique de backup:
    il sert au cas ou vôtre téléphone mobile n’est plus disponible (perte, vol, …) donc c’est mieux de ne pas utiliser le même numéro que celui du téléphone mobile sur le quel vous avez installé l’application

    1. choisir le pays et le numéro
    2. choisir le mode de réception du code, soit par SMS soit par un message vocal
    3. vérifier le fonctionnement, si vous avez choisit le message vocal Google va vous appeler
  5. codes imprimables de backup:
    une liste de 10 codes utilisables un seule fois chacun à conserver en lieu sûre
  6. si vous avez bien configuré le système vous pouvez maintenant l’activer

Utilisation

Application Web de Google

Le système est parfaitement intégré, après avoir saisir son identifient et mot de passe une page demande de rentrer le code de sécurité qu’on peut lire sur son téléphone mobile.
Si vous ne voulez pas devoir rentrer le code à chaque connexion vous pouvez choisir de conserver la vérification pendant 30 jours dans le navigateur employé. Cette option est bien pratique, mais affablit la sécurité, il faut l’utiliser uniquement sur des ordinateurs “sûres”.

Autres application (iChat, IMAP, …)

Les applications externes (même Picasa) ne supportent pas cette nouvelle identification, pour conturner ce problème Google permet de créer des mots de passe spécifiques pour chaque application. Chaque application est ainsi protégée individuellement (et peut être bloquée).

CC BY-NC-SA 4.0 This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.