À l'occasion de la Journée mondiale du mot de passe hier (… il y a aussi une journée mondiale pour ça), Google a mis en avant sa validation ou vérification en deux étapes. Pour la protection d'un compte, cette authentification à deux facteurs ajoute une couche de sécurité supplémentaire au mot de passe.

Pour les utilisateurs ayant déjà activé la validation en deux étapes, Google demande une confirmation d'identité par l'intermédiaire d'un appui sur une notification envoyée sur smartphone. Ces invites facilitent la procédure côté utilisateur et sont préférées au code de validation par SMS, notamment en raison du risque de SIM swapping.

Le SIM swapping est une technique où un attaquant parvient à tromper un opérateur de téléphonie mobile pour le convaincre d'assigner un numéro de téléphone d'une victime à une carte SIM en sa possession. Il peut alors récupérer des codes de validation pour l'accès à un compte.

google-validation-deux-etapes-invite

Avec les invites, les codes sont uniquement envoyés sur les appareils connectés au compte. Elles donnent également davantage d'informations sur les tentatives de connexion et permettent de bloquer des activités suspectes.

" Bientôt, nous commencerons à inscrire automatiquement les utilisateurs à la validation en deux étapes si leurs comptes sont correctement configurés ", écrit Google. " L'utilisation de leur appareil mobile pour se connecter offre aux utilisateurs une expérience d'authentification plus sûre et plus sécurisée que les mots de passe seuls. "

Au final, ce sera donc une activation par défaut de la validation en deux étapes de Google, et avec de préférence ses invites. Pour autant, les utilisateurs auront toujours la possibilité de désactiver cette protection supplémentaire le cas échéant.