Vous en avez assez de changer de mot de passe tous les 6 mois par crainte de voir votre boîte e-mail ou votre compte bancaire piraté ?
La validation en deux étapes est une procédure permettant de renforcer considérablement la sécurité vos comptes Gmail, Hotmail, Dropbox, bancaire, Twitter, Apple, etc… , en obligeant les utilisateurs à se connecter en saisissant un code de validation reçu par SMS, en complément du nom d’utilisateur et du mot de passe.

2 Mots de passes au lieu d’un, et sur 2 machines différentes : c’est inviolable…

Mais contraignant ? Pas du tout ! Je l’ai adopté pour tous mes comptes. Lisez, vous allez adorer…

1ere étape

Accédez aux paramètres de sécurité du compte que vous voulez sécuriser. L’emplacement est variable mais en général fouillez du côté de la modification de votre mot de passe, c’est par là que ça se passe… Et cochez la case de demande d’authentification renforcée en 2 étapes.

2eme étape

Une fois que vous avez validé votre demande , le site vous propose en général de confirmer le N° de téléphone mobile sur lequel vous souhaitez recevoir votre code de validation. Renseignez votre N° mobile, souvent au format international (par exemple +33 6 12 34 56 78).

3eme étape

Déconnectez vous de votre compte, et reconnectez vous.
Comme auparavant, votre identifiant et votre mot de passe ordinaires vous sont demandés. C’est ce que l’on appelle techniquement une « mire de login », jusque là rien d’anormal.

Ce qui change, c’est qu’un écran supplémentaire apparait entre la mire de login et l’accès libre à votre compte. Sur cet écran, un message vous avertit qu’un code de 6 à 8 chiffres selon les sites vient d’être envoyé sur votre téléphone portable par SMS, et que vous devez le recopier sur un champ de saisie de formulaire de cette nouvelle page :

4eme étape

S’il fallait récupérer un SMS quotidiennement à chaque connexion, ce serait vite assez pénible…
Et c’est là que ça devient intéressant.

Dans la plupart des cas il existe une petite case à cocher sous la zone de saisie du code SMS, avec une mention de ce type  : « Je me connecte fréquemment depuis cet appareil : ne plus me demander de code de validation, cet ordinateur est fiable ». COCHEZ LA !

Eh voilà, toute l’astuce est là ! Grâce à un petit cookie, le code de validation ne vous sera plus demandé sur VOTRE ordinateur, iPad ou smartphone. Mais toute personne extérieure ou utilisant une autre machine devra se soumettre à cette double validation pour accéder à votre compte.

Il est clair que si vous effacez vos cookies (comme après un « nettoyage CCleaner » par exemple), il vous faudra à nouveau saisir un code SMS pour vous re-connecter la première fois : rien ne prouvera plus que vous êtes sur une « machine fiable ».

Certains sites proposent des petites applications appelées « authentificator » pour éviter la saisie des code-SMS : personnellement moins j’installe d’applications inutiles, mieux je me porte… Je ne les utilise donc pas.

Il est également possible de remplacer le code SMS par un mot de passe long et complexe généré par le site (généralement appelé « code de validation » ). Là encore c’est un mauvais ersatz : si la sécurité est votre soucis, passez votre chemin et contentez vous de la double authentification de base.

That’s all folk !