Les 2 meilleures clés de sécurité pour Multi

May 23, 2023

Nous avons ajouté une section FAQ et passé au peigne fin ce guide pour nous assurer qu'il est à jour. Aucun choix n'a changé.

Un bon gestionnaire de mots de passe est la première étape vers la sécurité en ligne, mais pas la dernière. Lorsque l'authentification à deux facteurs (2FA) est disponible, vous devez également l'utiliser avec vos comptes en ligne. Alors que la forme la plus familière de 2FA est un code à usage unique envoyé par SMS à votre téléphone, la version la plus sécurisée est une clé de sécurité physique qui sert à la place à cette fin. Avec une clé de sécurité, personne ne peut accéder aux comptes sur lesquels vous l'avez configurée à moins de disposer à la fois de votre mot de passe et d'un accès physique à la clé. La clé de sécurité Yubico, qui est disponible pour les ports USB-A et USB-C, offre la meilleure combinaison de compatibilité, de convivialité et de sécurité de toutes les clés que nous avons testées.

La série de clés de sécurité de Yubico offre une sécurité de compte solide et une excellente documentation pour les nouveaux arrivants. Il est disponible pour les ports USB-A et USB-C (et les deux versions fonctionnent avec les appareils NFC tels que les téléphones), mais il ne prend pas en charge les protocoles avancés dont certains comptes peuvent avoir besoin, il est donc moins évolutif que notre choix de mise à niveau.

Peut être en rupture de stock

La série Yubico Security Key prend en charge un large éventail de protocoles et est compatible avec la plupart des services en ligne que les gens utilisent, notamment Google, GitHub et Dropbox. Il est disponible pour les ports USB-C en tant que Yubico Security Key C NFC et pour les ports USB-A en tant que Yubico Security Key NFC. Ces clés offrent la plupart des mêmes avantages que notre choix de mise à niveau, la série YubiKey 5, à une fraction du prix. Après des années à tester les clés de sécurité et à les garder sur nos porte-clés, nous les avons trouvées durables et fiables. Yubico fournit également la meilleure documentation que nous ayons vue de tous les fabricants de clés de sécurité, et son excellente expérience d'introduction facilite le processus pour les nouveaux arrivants. Les clés de sécurité Yubico ne prennent pas en charge les protocoles plus avancés tels que OpenPGP, la carte à puce et l'OTP, mais si vous ne savez pas quels sont ces protocoles, vous n'en avez probablement pas besoin.

Publicité

La série YubiKey 5 propose des versions adaptées à tous les appareils modernes, ainsi que des fonctionnalités premium pour une utilisation avancée.

La série Yubico YubiKey 5 prend en charge un plus large éventail de protocoles de sécurité que la série Security Key, ce qui la rend compatible avec davantage de comptes en ligne. Par rapport à presque toutes les autres clés de sécurité, la série 5 offre également plus d'options de connexion, notamment USB-A, USB-C, USB-C avec NFC et un modèle à double port USB-C et Lightning. Ils se présentent également sous la forme de nano-clés de la taille d'une vignette destinées à vivre dans votre ordinateur de manière plus permanente, contrairement à la forme de clé standard, qui dépasse du port. Au fil des années de tests, ils se sont avérés aussi durables que les clés de sécurité, et ils ont la même excellente documentation. Les modèles de la série YubiKey 5 peuvent coûter plus du double du prix des clés de sécurité Yubico, mais leur compatibilité robuste avec plus d'appareils et de comptes en vaut la peine.

La série de clés de sécurité de Yubico offre une sécurité de compte solide et une excellente documentation pour les nouveaux arrivants. Il est disponible pour les ports USB-A et USB-C (et les deux versions fonctionnent avec les appareils NFC tels que les téléphones), mais il ne prend pas en charge les protocoles avancés dont certains comptes peuvent avoir besoin, il est donc moins évolutif que notre choix de mise à niveau.

Peut être en rupture de stock

La série YubiKey 5 propose des versions adaptées à tous les appareils modernes, ainsi que des fonctionnalités premium pour une utilisation avancée.

Nous lisons des articles, des sites d'examen, des avis de clients et des documents techniques disséquant les clés de sécurité et les normes de sécurité qu'elles utilisent. Nous avons également interviewé Drew Porter, fondateur et président du cabinet de conseil en sécurité Red Mesa, pour discuter de qui a besoin de clés de sécurité matérielles, de ce qu'il faut rechercher dans leurs protocoles et pratiques de sécurité et de la manière dont les rappels passés affectent la fiabilité.

Après avoir sélectionné les clés de Yubico comme choix pour ce guide, nous avons discuté avec le directeur technique de Yubico, Christopher Harrell, pour obtenir plus d'informations sur les avantages des clés de sécurité matérielles, les limites de modèles spécifiques et la manière dont l'écosystème évolue.

Thorin Klosowski est le rédacteur en chef de la confidentialité et de la sécurité de Wirecutter. Avant Wirecutter, il a écrit pour Lifehacker, et dans les deux publications, il a cherché à rendre la technologie compliquée facile à comprendre et à utiliser.

Yael Grauer a effectué les premiers tests pour ce guide et a rédigé les recommandations originales au printemps 2020. Elle a écrit sur la confidentialité et la sécurité en ligne pour Wired, Vice, BreakerMag, The Intercept, Slate/Future Tense, Ars Technica, et plus encore, et elle couvre maintenant la catégorie du Consumer Reports Digital Lab. Elle a collaboré avec l'Electronics Frontier Foundation sur son projet de surveillance au niveau de la rue et a rédigé des programmes pour TrollBusters, un service de sauvetage ponctuel pour les femmes écrivains et journalistes victimes de harcèlement en ligne. Elle a également co-organisé des événements, donné des ateliers et pris la parole lors de panels sur la sécurité numérique et la protection des sources.

Si vous débutez avec l'authentification multifacteur, voici comment fonctionne le processus typique de nouvelle connexion lorsque vous avez enregistré une clé de sécurité avec un site Web ou une application :

Que vous alliez en ligne pour faire des achats, faire des opérations bancaires, consulter vos e-mails ou utiliser les réseaux sociaux, vous devez utiliser l'authentification multifacteur pour sécuriser vos comptes. L'ajout d'une couche (ou de plusieurs couches) de sécurité supplémentaire à vos comptes rend plus difficile pour un attaquant de les compromettre. Le National Institute of Standards and Technology (NIST) recommande d'utiliser une forme d'authentification multifacteur, et vous pouvez déjà avoir un deuxième facteur, comme recevoir un code à usage unique par SMS ou utiliser une application d'authentification comme Authy.

Mais lorsqu'il s'agit de sécuriser les comptes et les mots de passe, les clés de sécurité offrent la couche de protection la plus solide. Une clé offre une sécurité accrue par rapport à un simple mot de passe et peut protéger contre des types spécifiques de phishing qui tentent de voler des codes d'authentification à deux facteurs. La plupart des gens devraient utiliser une clé de sécurité pour autant de comptes qui la prennent en charge, et les clés de ce guide devraient fonctionner pour les comptes personnels et professionnels (sauf si vous êtes un employé du gouvernement ou d'un secteur réglementé, auquel cas vous aurez probablement différentes clés, telles que la série Yubico YubiKey 5 FIPS).

L'authentification multifacteur fonctionne en exigeant la présentation de plusieurs couches de preuves, ou facteurs, avant d'autoriser l'accès à un compte. Les facteurs peuvent varier, mais ils entrent généralement dans l'une des trois catégories suivantes :

Les codes de sécurité envoyés par SMS ont leur propre ensemble de problèmes, et bien que les applications d'authentification soient préférables aux SMS, les clés de sécurité offrent la meilleure protection contre les attaques de phishing. Par exemple, si vous appuyez sur un lien de site Web usurpé qui vous est envoyé dans un message texte, un attaquant contrôlant ce site peut obtenir votre nom d'utilisateur, votre mot de passe et votre code d'authentification après avoir tout saisi, mais cela ne peut pas arriver avec une clé physique. De plus, les clés de sécurité sont plus faciles à utiliser sur un ordinateur que de s'occuper de votre téléphone. Certaines clés de sécurité, y compris nos choix, prennent également en charge la "connexion sans mot de passe", où vous n'avez même pas besoin d'un mot de passe, juste la clé physique elle-même, pour vous connecter. La société la plus notable qui prend actuellement en charge ce type de connexion est Microsoft.

"Il est plus difficile de compromettre un jeton matériel qu'un téléphone numérique, car tout le monde n'a pas une vision parfaite de tout ce qui se passe ou se passe dans son téléphone", a déclaré Drew Porter, fondateur et président de Red Mesa. "La plupart des gens ne surveillent pas tout ce qui se passe sur leur téléphone et ne peuvent donc pas savoir si leur téléphone est compromis."

Nous vous recommandons d'avoir au moins une clé de sécurité de secours à utiliser au cas où vous perdriez la clé principale.

"Les gens font beaucoup de campagnes autour de l'éducation au phishing et pour apprendre aux gens à faire attention à la barre d'URL dans le navigateur, mais il s'avère que nous sommes humains", a déclaré Christopher Harrell, directeur de l'ingénierie de Yubico. "Nous avons d'autres priorités, et notre attention est limitée." Les clés de sécurité font le gros du travail en s'assurant que les sites auxquels vous essayez de vous connecter sont authentiques, vous n'avez donc pas besoin d'être aussi méticuleux pour remarquer quoi que ce soit. À titre d'exemple, Porter a noté que de nombreuses personnes tapent sans réfléchir sur « Vous êtes-vous connecté ? » notifications push sur leurs téléphones même lorsqu'ils ne le devraient pas, un problème qui ne se poserait pas s'ils se connectaient à l'aide d'une clé de sécurité.

Nous vous recommandons d'avoir au moins une clé de sécurité de secours à utiliser au cas où vous perdriez la clé principale. Avec la plupart des services, vous pouvez enregistrer plusieurs clés, ce que vous devez faire à l'avance ; de cette façon, si vous perdez votre clé principale, vous pouvez vous connecter avec une sauvegarde. Si vous n'avez pas de sauvegarde, dans certains cas, vous pourriez être bloqué sur un compte. Différents sites ont différents mécanismes de récupération, y compris des applications d'authentification, des clés de récupération basées sur SMS et des codes de sauvegarde (codes de récupération uniques que vous pouvez stocker quelque part).

Tous les sites et services ne prennent pas en charge les clés de sécurité, mais 1Password, Bitwarden, Dropbox, Facebook, Google, Microsoft et Twitter le font. Pour voir quels services proposent des clés de sécurité comme option d'authentification, recherchez une coche sous "Hardware Token" sur le site 2FA Directory.

Bien que les clés de sécurité soient plus sécurisées que les applications d'authentification, elles ne constituent pas le meilleur choix pour les personnes qui ont tendance à perdre des objets. La plupart des gens devraient avoir au moins deux clés de sécurité : une pour un usage quotidien et une clé de secours qui peut rester dans un endroit sûr, comme dans un coffre-fort, si vous perdez votre clé de tous les jours. Certaines personnes peuvent vouloir des clés supplémentaires pour différents appareils.

De plus, l'écosystème des clés de sécurité présente des aspérités. Tous les types de clés ne fonctionnent pas de manière transparente sur un téléphone mobile, par exemple, et certaines applications reviennent aux applications d'authentification dans certaines circonstances.

Les clés de sécurité peuvent être difficiles à configurer, donc les personnes qui n'ont pas la patience de le faire devraient s'en tenir aux applications d'authentification. Mais une fois que les clés de sécurité sont configurées et utilisées, nous les avons trouvées beaucoup plus faciles à utiliser dans la pratique que les applications d'authentification, car il n'y a pas de copier-coller bancal requis, et il n'est pas non plus nécessaire de faire défiler les codes pour trouver celui que vous recherchons.

Les clés de sécurité ne sont pas parfaites. Un document de recherche (PDF) a montré comment un pirate pouvait cloner certaines clés de sécurité, ce qui lui permettait théoriquement de se connecter à n'importe quel compte protégé par la clé d'origine. L'attaque nécessite un accès physique à la clé, environ 12 000 dollars d'équipement et au moins 10 heures, mais cela illustre comment même les produits les plus sécurisés peuvent rencontrer des problèmes. Les chercheurs ont effectué leur attaque sur la clé Google Titan, mais notent dans leur article que d'autres matériels utilisant la même puce peuvent également être vulnérables. ce groupe comprend un ancien modèle Yubico, le YubiKey Neo, et plusieurs clés fabriquées par Feitian.

Une clé de sécurité n'a pas besoin d'avoir beaucoup de fonctionnalités pour être utile, mais une clé mal conçue peut être difficile à utiliser. Voici les caractéristiques que nous avons jugées les plus importantes au cours de nos recherches :

Nous avons rejeté les clés de sécurité dont l'examen par le propriétaire était limité ou qui étaient conçues spécifiquement pour un usage gouvernemental (comme la série Yubico YubiKey 5 FIPS). Selon les critères ci-dessus, nous avons testé la clé de sécurité Yubico, la clé de sécurité NFC, la clé de sécurité C NFC et les YubiKey 5C, 5C NFC, 5Ci et 5 NFC ; Clés de sécurité Titan de Google (clé de sécurité USB-A/NFC et clé de sécurité USB-C/NFC) ; Clés de sécurité FIDO U2F et BLE U2F de Thetis ; et les modèles Solo USB-C, Solo USB-A, Solo Tap USB-C et Solo Tap USB-A de SoloKeys.

Nous avons testé la configuration de chaque clé avec diverses applications, en notant les problèmes en cours de route. Nous avons parcouru toutes les clés plusieurs fois avec une voiture pour nous assurer qu'elles étaient suffisamment résistantes pour résister à une telle punition, puis nous les avons jetées dans une machine à laver pour nous assurer qu'elles fonctionneraient toujours au cas où vous laisseriez la vôtre dans votre poche. Une fois que nous avons choisi les clés Yubico, nous avons contacté la société pour obtenir des détails supplémentaires sur les fonctionnalités et la compatibilité.

La série de clés de sécurité de Yubico offre une sécurité de compte solide et une excellente documentation pour les nouveaux arrivants. Il est disponible pour les ports USB-A et USB-C (et les deux versions fonctionnent avec les appareils NFC tels que les téléphones), mais il ne prend pas en charge les protocoles avancés dont certains comptes peuvent avoir besoin, il est donc moins évolutif que notre choix de mise à niveau.

Peut être en rupture de stock

La meilleure clé de sécurité pour la plupart des gens est la clé de sécurité Yubico, qui se présente sous deux formes : la clé de sécurité Yubico NFC (USB-A) et la clé de sécurité Yubico C NFC (USB-C). Ces clés de sécurité fonctionnent avec la plupart des appareils, y compris les téléphones et les ordinateurs portables. Ils disposent de tous les protocoles de sécurité nécessaires pour fonctionner avec un large éventail de services Web que la plupart des gens utilisent, notamment 1Password, Bitwarden, Google, Microsoft et bien d'autres. La documentation et le support de Yubico sont les meilleurs que nous ayons vus, et les clés se sont avérées durables au fil des années de tests. D'un prix inférieur à 30 $, ils sont suffisamment abordables pour que vous puissiez en acheter un couple (ce que nous recommandons, vous avez donc une sauvegarde) sans trop dépenser, d'autant plus qu'il n'y a aucune raison qu'ils ne durent pas pendant de nombreuses années.

Dans certains cas, les experts suggèrent que les programmes et les clés de sécurité qui utilisent un logiciel open source, qui permet à quiconque de revoir le code du programme, sont plus sécurisés. Toutes les clés Yubico sont à source fermée, mais la société a établi la confiance autour de ses pratiques de sécurité par d'autres moyens, y compris des évaluations de sécurité internes et tierces de son code pour chaque version majeure. Lorsque Yubico a eu une vulnérabilité dans sa série de clés YubiKey FIPS (utilisée par les agences gouvernementales) en juin 2019, la société a remplacé les appareils concernés. Il répertorie également de manière proactive les avis de sécurité et les mesures d'atténuation sur son site Web.

Yubico a des vidéos et des liens vers des instructions pour les services avec lesquels vous pourriez vouloir utiliser votre clé de sécurité, y compris une liste (avec des visuels) dont la clé fonctionne avec le programme.

Les clés de sécurité Yubico répondent aux normes FIDO2 et prennent en charge U2F, WebAuthn et CTAP 1 et 2, ce qui les rend compatibles avec la plupart des services Web prenant en charge les clés de sécurité, y compris des fonctionnalités plus avancées telles que la connexion sans mot de passe de Microsoft. Les clés de sécurité standard n'offrent pas certaines des options pour les personnes super-techniques qui pourraient vouloir, par exemple, mettre une clé GPG dans le matériel, ou pour les utilisateurs d'entreprise qui veulent une clé qui fonctionne avec les cartes à puce PIV pour Active Directory, ou pour SSH ou S/MIME. Si vous n'êtes pas familier avec ces termes, il est peu probable que vous manquiez les fonctionnalités avancées de la série 5 plus chère.

Chaque modèle de clé de sécurité s'adapte à un port USB-A ou USB-C, et la plupart des téléphones prennent en charge NFC, de sorte que les clés devraient fonctionner correctement pour la plupart des appareils. Obtenez la clé qui s'insère dans le port de votre ordinateur. Si vous avez besoin de plus d'options, telles que Lightning pour une connexion physique à un iPhone (ou à certains modèles d'iPad), ou si vous voulez des touches de la taille d'une vignette qui ne dépassent pas, optez pour la série YubiKey 5.

Pour utiliser une clé de sécurité, vous devez la configurer et l'associer à chaque compte en ligne individuel. La configuration d'un compte ne prend que quelques minutes, mais trouver le bon endroit pour le faire peut nécessiter un travail de détective. Utile, la documentation de Yubico est complète : en plus d'une page de configuration, Yubico contient des vidéos et des liens vers des instructions pour les services avec lesquels vous pourriez vouloir utiliser votre clé de sécurité, y compris une liste (avec des visuels) dont la clé fonctionne avec le programme, des informations sur la prise en charge des protocoles de sécurité, la prise en charge des plates-formes de bureau et portables, la prise en charge des appareils mobiles, la prise en charge des navigateurs et toute offre spéciale. Cette documentation est beaucoup plus complète que ce que nous avons vu de la concurrence.

La plupart des clés pleine grandeur de Yubico sont résistantes à l'eau et à l'écrasement. Comme les autres clés que nous avons testées, les clés de sécurité Yubico et la série 5 ont bien résisté à nos tests réguliers, et elles ont toujours bien fonctionné après les avoir écrasées avec une voiture et les avoir soumises à un cycle dans une machine à laver. Tous étaient également faciles à transporter sur un porte-clés. Après plus de deux ans d'utilisation, les clés accrochées à nos porte-clés ont toujours l'air presque neuves et continuent de fonctionner. Ils ont obtenu les mêmes résultats de durabilité dans les tests menés par le formateur en sécurité numérique de la Freedom of the Press Foundation, David Huerta.

À 25 $ et près de 30 $ pour les modèles USB-A et USB-C, respectivement, les clés de sécurité Yubico sont moins chères que les clés de sécurité Titan de style similaire de Google et près de la moitié du prix de la plupart des modèles de la série Yubico YubiKey 5. Les clés de sécurité Yubico ne disposent pas des fonctionnalités intéressantes de la série 5, telles que plusieurs options de connexion, la connexion à l'ordinateur et la prise en charge des mots de passe à usage unique basés sur le temps sur l'application Yubico Authenticator. Mais la plupart des gens n'ont pas suffisamment besoin de ces fonctionnalités supplémentaires pour justifier l'augmentation du prix d'un modèle de la série 5.

Pour la plupart, nous avons trouvé l'expérience d'utilisation d'une clé de sécurité sur les ordinateurs portables Windows et Mac simple, mais les problèmes de compatibilité affectent toujours certains navigateurs, et certains logiciels ne prennent pas directement en charge les clés, vous pouvez donc également rencontrer des problèmes.

La prise en charge des appareils mobiles s'est étendue au cours des dernières années, mais nous avons toujours rencontré des problèmes avec les clés sur Android et iOS. par exemple, sur les deux plates-formes, vous pouvez utiliser une clé pour vous connecter à Dropbox depuis le navigateur de votre smartphone, mais pas l'application Dropbox. Nous avons cependant constaté des améliorations dans d'autres applications, telles que Facebook, qui prend désormais entièrement en charge les clés dans ses applications mobiles, et Twitter, qui vous permettra bientôt de vous connecter avec uniquement la clé, sans mot de passe. Pour aggraver la confusion, certaines applications et certains services peuvent prendre en charge une clé lorsqu'elle est branchée, mais pas via NFC. Ces types de décalages peuvent être gênants, d'autant plus que même lorsque NFC est pris en charge, vous devez toujours tenir la clé près de votre téléphone et croiser les doigts dans l'espoir qu'elle s'enregistre. Si vous n'aimez vraiment pas jouer avec NFC, la série YubiKey 5 peut être une meilleure option.

La série YubiKey 5 propose des versions adaptées à tous les appareils modernes, ainsi que des fonctionnalités premium pour une utilisation avancée.

Si vous recherchez des fonctionnalités supplémentaires et que vous êtes à l'aise avec des réglages plus avancés dans les applications Web, procurez-vous une clé dans la série Yubico YubiKey 5. La série 5 comprend plusieurs modèles et est donc compatible avec plus d'appareils que toute autre clé, y compris la gamme de clés de sécurité de Yubico. La série 5 a les mêmes excellentes procédures vidéo et instructions de configuration de Yubico, et les clés elles-mêmes sont portables et durables, bien qu'elles coûtent près de deux fois plus cher que notre choix principal.

La détermination de la clé de la série 5 qui vous convient le mieux dépend des appareils que vous possédez. Yubico propose un quiz pour vous aider à trouver la bonne clé, mais la répartition ressemble à ceci :

La série 5 offre plus d'options et de combinaisons de ports que la sélection de toutes les autres entreprises, y compris la gamme de clés de sécurité moins chères de Yubico et les clés de sécurité Titan de Google, qui n'ont pas d'option de port Lightning pour les propriétaires d'iPhone et s'appuient plutôt sur NFC. Bien que la série 5 ait une compatibilité plus large avec les ports de smartphone que les autres options, elle souffre toujours des mêmes bizarreries apparemment aléatoires des clés de sécurité Yubico. Mais même ainsi, la série 5 prend en charge plusieurs protocoles, notamment FIDO2, U2F, PIV, Yubico OTP et OATH HOTP, ce qui permet de garantir sa compatibilité avec autant de services que possible à l'avenir.

La série YubiKey 5 est plus chère que ses concurrents, et certaines versions sont deux fois plus chères que la clé de sécurité Yubico de base. Mais pour beaucoup de gens, cela vaut le prix élevé car il est évolutif et ajoute des extras agréables à avoir.

Bien que certains des extras de la série YubiKey 5 ne soient pas des choses dont la plupart des gens auront probablement besoin tous les jours, ils sont agréables à avoir pour tous ceux qui recherchent le plus haut niveau de sécurité. Plus particulièrement, la série 5 peut générer des codes d'accès uniques basés sur le temps pour jusqu'à 32 comptes, similaires au fonctionnement des applications mobiles Authy et Authenticator, mais les informations d'identification sont stockées sur la clé. Cette fonctionnalité nécessite le téléchargement de l'application Yubico Authenticator et fonctionne avec des services prenant en charge d'autres applications d'authentification telles que Authy. Lorsque vous rencontrez un site avec une authentification logicielle mais pas de support de clé, vous pouvez stocker ces codes sur la clé. L'application Yubico n'affichera alors ces codes que si la clé est connectée, donc même si quelqu'un réussit à obtenir votre téléphone, il aura toujours besoin de la clé pour accéder aux codes d'authentification. Aucune des autres clés que nous avons testées, y compris celles de la gamme de clés de sécurité moins chères de Yubico, n'a cette fonctionnalité. Mais l'utilisation de cette fonctionnalité vous oblige à enregistrer tous les codes de sauvegarde à deux facteurs ou à stocker les informations d'identification sur une deuxième clé, alors assurez-vous que vous êtes à l'aise pour le faire.

Bien qu'il soit difficile à configurer, la série 5 prend également en charge la connexion à l'ordinateur sous Windows, Mac et Linux afin que personne ne puisse accéder à votre machine sans insérer la clé après le démarrage du système. La plupart des autres clés, y compris les modèles Yubico Security Key, ne peuvent pas faire de même.

Comme les modèles de clés de sécurité de Yubico, les clés de la série 5 se sont avérées résistantes au cours de nos années de tests. Après avoir été suspendus à un porte-clés pendant quelques années, ils fonctionnent toujours et ont l'air presque neufs.

Pour configurer votre clé de sécurité, il est préférable de commencer sur un ordinateur portable ou de bureau, car certaines applications mobiles ne vous permettront pas d'enregistrer une clé matérielle pour votre compte sur votre téléphone. Une fois que vous avez enregistré une clé sur votre ordinateur, elle devrait simplement fonctionner avec votre téléphone. À titre d'exemple, voici comment configurer une clé avec notre gestionnaire de mots de passe préféré, 1Password. Le processus est le même pour toute clé de sécurité prise en charge par une application :

Lorsque vous avez terminé, répétez le processus avec votre clé de sauvegarde. Vous devez également configurer une application d'authentification telle que Authy si vous ne l'avez pas déjà fait, au cas où vous rencontreriez une instance où vous ne pouvez pas utiliser votre clé sur un appareil mobile. Le processus est plus ou moins le même pour les autres services pris en charge.

Une fois la clé activée, elle devrait fonctionner automatiquement avec votre smartphone si les deux ont une connexion physique. Sur les combinés Android et iPhone, vous pouvez vous connecter à l'aide d'une clé NFC en la tenant à l'arrière de votre téléphone jusqu'à ce que le téléphone arrête de bourdonner.

Au quotidien, vous n'aurez peut-être pas besoin d'utiliser votre clé matérielle très souvent. Les services tiennent souvent compte de différents facteurs de risque pour déterminer s'ils en ont besoin. Certains sites peuvent vous demander de l'insérer lorsque vous gérez le type d'authentification que vous utilisez, tandis que d'autres peuvent vous demander d'utiliser votre clé uniquement lorsque vous vous connectez à partir d'un nouvel ordinateur.

SoloKeys a annoncé une refonte de sa prochaine génération de clés de sécurité qui abandonne la conception des boutons-poussoirs avec laquelle nous avons lutté en faveur de boutons latéraux tactiles similaires à ceux des clés Yubico et Google. SoloKeys prévoit également d'améliorer les performances NFC, d'ajouter une étanchéité, etc. Nous prévoyons de tester les nouvelles clés lorsqu'elles seront disponibles.

Les clés de sécurité Titan de Google incluent des modèles USB-A et USB-C, tous deux avec prise en charge NFC. Les clés Titan ne prennent en charge que U2F, pas FIDO2, qui est actuellement utilisé par des services comme Microsoft et pourrait être utilisé par des comptes potentiels "sans mot de passe" à l'avenir. Les clés de Google fonctionnent avec son programme de protection avancée, qui est utile pour les militants, les journalistes, les équipes de campagne politique ou les cadres, mais sa sécurité accrue implique certains compromis en termes de convivialité. Le peu de documentation fournie par Google n'est pas utile, et même le simple fait de déterminer les protocoles et les normes auxquels la clé répond nécessite des recherches importantes. Les deux clés Titan sont très similaires aux modèles de clés de sécurité de Yubico, bien que nous ayons trouvé leur plastique blanc plus enclin à accumuler de la saleté lorsque les clés étaient attachées à un porte-clés. Les clés Titan conviennent si vous en avez déjà une, mais toutes les options de Yubico sont plus évolutives.

Les clés de sécurité Feitian sont livrées avec la plupart des mêmes fonctionnalités et protocoles de sécurité que les options Yubico, et elles offrent une variété de choix de connectivité, y compris USB-C et NFC et même une option d'empreinte digitale. Feitian est également la société qui fabrique les clés de Google. Mais sa documentation, y compris des informations de base sur les fonctionnalités et la sécurité, n'est pas aussi bonne que celle de Yubico ; certains liens sur le site de l'entreprise mènent même à des pages inachevées. Les clés Feitian coûtent souvent la moitié du prix des options Yubico similaires, et elles peuvent être un choix suffisant si vous êtes déjà expérimenté avec les clés de sécurité.

Google et Feitian ont tous deux été critiqués par des experts pour un manque de transparence dans le pipeline de production des clés, qui sont fabriquées en Chine. Nous n'avons trouvé aucune nouvelle information sur la production de ces clés, ni aucune nouvelle suggérant que cela a été un problème depuis l'introduction des clés en 2018.

Les SoloKeys sont les premières clés de sécurité FIDO2 open-source ; ils permettent aux développeurs de contribuer au projet ou de déposer des rapports de bogues sur GitHub. Mais chaque clé se compose simplement d'un circuit imprimé et d'un étui en silicone souple que vous mettez vous-même, et lors de nos tests, les clés ne semblaient pas aussi durables que les autres que nous avons essayées. De plus, les boîtiers des versions USB-C ne correspondaient pas très bien : au lieu de simplement appuyer sur la touche pour la faire fonctionner, nous avons dû appuyer dessus, et nous avons constaté que la pression ne fonctionnait pas à chaque fois.

La série YubiKey Bio de Yubico est disponible dans les modèles USB-C et USB-A et dispose d'une reconnaissance d'empreintes digitales au lieu d'une simple authentification tactile. Cette conception ajoute une couche de sécurité supplémentaire à votre clé car si quelqu'un la vole, il ne peut pas l'utiliser. Mais avec un prix de 80 $ à 85 $, les clés Bio ne sont pas nécessaires pour la plupart des gens.

Nous aimons la conception physique des clés Thetis car il s'agit d'une conception rabattable qui protège la partie principale de la clé. Nous avons testé deux des clés USB-A de l'entreprise ; les deux clés, mais surtout la clé NFC, étaient plus volumineuses que les autres clés que nous avons testées. Thetis manque de bonne documentation et nous n'avons trouvé aucune information sur le site Web de l'entreprise concernant la manière dont les chercheurs en sécurité pourraient signaler les vulnérabilités.

Si vous perdez votre clé de sécurité, vous ne pourrez peut-être pas vous connecter aux comptes qui en ont besoin. C'est pourquoi nous vous recommandons d'enregistrer deux clés, une principale et une de secours. Certains services peuvent également nécessiter une autre méthode de sauvegarde, comme une application, un SMS ou une authentification par e-mail.

Les services de messagerie et les réseaux sociaux les plus populaires prennent tous en charge les clés de sécurité comme deuxième facteur d'authentification. Vous pouvez trouver une liste complète de presque tous les sites Web qui les prennent en charge ici.

Si les clés de sécurité ne sont pas une option, nous vous suggérons d'utiliser une application plutôt que des SMS ou des e-mails, dans la mesure du possible. La vérification des messages texte peut être contournée via l'échange de carte SIM lorsque quelqu'un utilise l'ingénierie sociale pour obtenir votre numéro de téléphone attribué à une nouvelle carte SIM afin qu'il puisse intercepter vos jetons SMS), et la vérification des e-mails n'est sécurisée que si vous disposez d'une authentification forte à deux facteurs sur ce compte de messagerie, aussi.

Android et iOS prennent en charge les clés de sécurité via une entrée physique (USB-C ou Lightning) ou NFC. Mais toutes les applications ne prennent pas en charge les clés de connexion, vous devrez donc parfois utiliser une autre méthode sur votre téléphone, comme une application ou, moins préférablement, un SMS.

Drew Porter, fondateur et président de Red Mesa, entretiens téléphoniques et par e-mail, 12 décembre 2019

Christopher Harrell, directeur de l'ingénierie chez Yubico, entretiens téléphoniques et par e-mail, 24 janvier 2020

Paul Stamatiou, Premiers pas avec les clés de sécurité, PaulStamatiou.com, 21 octobre 2019

Stefan Etienne, Les meilleures clés de sécurité matérielles pour l'authentification à deux facteurs, The Verge, 22 février 2019

Chris Hoffman, les clés de sécurité matérielles sont constamment rappelées ; Sont-ils en sécurité ?, How-To Geek, 14 juin 2019

The Best Security Key Review, Keylock Guide, 6 juin 2019

Brad Hill, Avis U2F, GitHub, 5 septembre 2018

Yaël Grey

Yael Grauer est une journaliste d'investigation basée à Phoenix. Son travail est apparu dans The Intercept, Wired, Ars Technica, Motherboard, Future Tense, OneZero, et plus encore. Elle aime cuisiner, faire de la randonnée, jouer à des jeux de puzzle, écouter de la musique bluegrass et passer du temps avec son mari et leur chiweenie de sauvetage.

Thorin Klosowski

Thorin Klosowski est l'ancien rédacteur en chef des sujets de confidentialité et de sécurité chez Wirecutter. Il écrit sur la technologie depuis plus d'une décennie, en mettant l'accent sur l'apprentissage par la pratique, c'est-à-dire en cassant les choses aussi souvent que possible pour voir comment elles fonctionnent. Pour le meilleur ou pour le pire, il applique la même approche de bricolage à ses reportages.

par Haley Perry

Des gestionnaires de mots de passe aux logiciels de sauvegarde, voici les applications et les services dont tout le monde a besoin pour se protéger contre les failles de sécurité et la perte de données.

par Andrew Cunningham et Thorin Klosowski

Tout le monde devrait utiliser un gestionnaire de mots de passe, et après en avoir recherché des dizaines et en avoir testé six, nous recommandons 1Password car il est sécurisé et facile à utiliser.

par Thorin Klosowski

La réutilisation des mots de passe augmente la probabilité que quelqu'un d'autre accède à vos comptes. Voici quelques conseils pour conserver des mots de passe forts.

par Thorin Klosowski

Avant de vous débarrasser de vos téléphones, ordinateurs portables ou autres gadgets, assurez-vous de ne pas transmettre vos données à des inconnus.