Qu'est-ce que Authentification multifacteur ?
L'authentification multifacteur (MFA) est une méthode d'authentification qui exige d'un utilisateur qu'il présente deux identifiants indépendants ou plus issus de catégories différentes — quelque chose que l'on sait ; quelque chose que l'on possède ; ou quelque chose que l'on est — avant d'accorder l'accès.
Aussi connu sous le nom de : multi-factor authentication, two-factor authentication, 2FA, MFA
Les trois facteurs d'authentification standard sont : la connaissance (mots de passe, codes PIN), la possession (smartphones, jetons matériels, cartes à puce) et l'inhérence (empreintes digitales, reconnaissance faciale). La MFA exige des identifiants d'au moins deux de ces catégories, de sorte que compromettre un seul facteur ne suffit pas à un attaquant pour obtenir l'accès. Un mot de passe volé est inutile sans le jeton matériel ; un smartphone volé est inutile sans le code PIN.
Les implémentations de MFA les plus courantes associent un mot de passe à un mot de passe à usage unique fondé sur le temps (TOTP) généré par une application d'authentification, à un code SMS ou à une notification push sur un appareil mobile. Les implémentations plus robustes utilisent des clés de sécurité matérielles (FIDO2/WebAuthn), résistantes au hameçonnage car elles se lient cryptographiquement au domaine d'authentification précis. Les codes par SMS, bien que meilleurs que les mots de passe seuls, restent vulnérables aux attaques par échange de carte SIM.
La MFA est l'une des mesures de sécurité les plus efficaces qu'une organisation puisse déployer. Les données du secteur montrent constamment qu'elle bloque plus de 99 % des attaques automatisées sur les identifiants. Pourtant, son adoption reste inégale : de nombreux incidents de sécurité remontent à des comptes protégés par mot de passe seul, en particulier les comptes de service, les systèmes hérités et les comptes personnels réutilisés sur plusieurs services.
Comment Vaulted utilise Authentification multifacteur
Vaulted n'utilise ni comptes ni authentification par connexion, si bien que la MFA ne s'applique pas directement au service. La protection optionnelle par phrase secrète de Vaulted fournit toutefois un second facteur analogue pour l'accès aux secrets. Le lien lui-même fait office de « quelque chose que tu possèdes » (la possession de l'URL), et la phrase secrète agit comme « quelque chose que tu sais ». Ensemble, ils garantissent que l'interception du lien seul ne suffit pas à accéder au secret : l'attaquant aurait aussi besoin de la phrase secrète, qui devrait être communiquée par un canal distinct.