Authentification à deux facteurs (2FA) avec votre gestionnaire de mots de passe

# Authentification à deux facteurs (2FA) avec votre gestionnaire de mots de passe

Votre gestionnaire de mots de passe contient les clés de votre vie numérique entière. Si quelqu’un accède à votre compte gestionnaire MDP, il a accès à tout. L’authentification à deux facteurs (2FA) est le filet de sécurité qui empêche ça — même si votre mot de passe maître est volé.

## Qu’est-ce que la 2FA ?

L’authentification à deux facteurs (2FA) ou authentification multifacteur (MFA) ajoute une étape de vérification après votre mot de passe. Plutôt que de vous connecter avec “quelque chose que vous savez” (le mot de passe), vous devez aussi prouver “quelque chose que vous avez” (votre téléphone) ou “quelque chose que vous êtes” (biométrie).

**Trois facteurs d’authentification :**
1. **Connaissance** : mot de passe, PIN, question secrète
2. **Possession** : téléphone, clé physique (YubiKey)
3. **Inhérence** : empreinte digitale, Face ID, reconnaissance iris

La 2FA combine deux de ces facteurs. Le combo le plus commun : mot de passe (connaissance) + code TOTP sur téléphone (possession).

## Pourquoi la 2FA sur votre gestionnaire MDP est critique

Sans 2FA, si quelqu’un obtient votre mot de passe maître (phishing, keylogger, violation d’un service qui l’a stocké), il a accès à l’intégralité de votre coffre.

Avec la 2FA activée, même avec le mot de passe maître, l’attaquant a besoin de votre téléphone physique (ou votre clé matérielle). C’est une barrière très difficile à franchir à distance.

## Les types de 2FA disponibles

### TOTP (Time-based One-Time Password) — Le standard

Le TOTP génère un code à 6 chiffres qui change toutes les 30 secondes. Vous l’obtenez via une application d’authentification.

**Applications TOTP recommandées :**
– **Authy** : sauvegarde cloud, multi-appareils, application solide
– **Google Authenticator** : simple, pas de sauvegarde cloud (inconvénient)
– **Bitwarden Premium** : le générateur TOTP intégré dans votre coffre (pratique mais circulaire)
– **1Password** : idem, intégré dans votre coffre
– **Aegis** (Android) : open source, sauvegarde locale

**Conseil :** Utilisez **Authy** pour les codes TOTP de votre gestionnaire MDP. Mettre les codes TOTP du gestionnaire dans le gestionnaire lui-même crée une dépendance circulaire : si vous perdez accès au gestionnaire, vous perdez aussi les codes pour y rentrer.

### Clé de sécurité hardware (FIDO2/WebAuthn) — Le plus sécurisé

Une clé physique comme une **YubiKey** ou une **clé Google Titan** est le niveau le plus élevé de 2FA. Vous insérez physiquement la clé (USB ou NFC) lors de la connexion.

**Avantages :**
– Immunisé contre le phishing : la clé vérifie cryptographiquement le domaine
– Impossible de compromettre à distance
– Pas de code à saisir

**Inconvénients :**
– Coût : 40-50€ pour une YubiKey
– Risque de perte physique (toujours avoir une clé de secours)
– Moins pratique sur mobile

**Compatibilité :**
– 1Password : YubiKey supportée
– Bitwarden : YubiKey supportée (Premium)
– Dashlane : supportée
– NordPass : supportée

### SMS — À éviter pour les comptes critiques

Le 2FA par SMS envoie un code par texto. C’est mieux que rien, mais présente des faiblesses connues :

– **SIM swapping** : un attaquant peut convaincre votre opérateur de transférer votre numéro
– **Interception SS7** : les réseaux téléphoniques ont des vulnérabilités connues
– **Phishing en temps réel** : certains kits de phishing interceptent les SMS en direct

Pour votre gestionnaire de mots de passe et vos comptes les plus critiques, **préférez TOTP ou une clé hardware**.

### Email 2FA — Déconseillé

Envoyer un code par email est encore plus faible que le SMS. Si votre email est compromis, le 2FA par email n’apporte aucune protection.

## Comment activer la 2FA sur votre gestionnaire

### 1Password

1. Connectez-vous à my.1password.com
2. Cliquez sur votre profil > Mon profil
3. Sécurité > Authentification à deux facteurs
4. Choisissez “Ajouter une app d’authentification”
5. Scannez le QR code avec Authy ou Google Authenticator
6. Sauvegardez vos **codes de récupération** (très important !)

### Bitwarden

1. Connectez-vous à vault.bitwarden.com
2. Paramètres > Sécurité > Connexion à deux facteurs
3. Choisissez votre méthode (Authenticator App recommandé)
4. Scannez le QR code
5. Notez les codes de récupération

### NordPass

1. Paramètres > Sécurité
2. Authentification à deux facteurs > Activer
3. Choisissez TOTP ou clé hardware
4. Suivre les instructions

## Les codes de récupération : ne les négligez pas

Quand vous activez la 2FA, votre gestionnaire vous donne des **codes de récupération** (souvent 8-10 codes à usage unique). Ces codes permettent d’accéder à votre compte si vous perdez votre appareil 2FA.

**Conservez ces codes :**
– **Imprimez-les** et mettez dans un endroit physique sûr (tiroir fermé à clé, coffre)
– **Ne les stockez pas numériquement** sur l’appareil qui contient votre gestionnaire
– **Partagez-en la localisation** avec votre conjoint ou une personne de confiance

C’est l’équivalent numérique des clés de secours de votre maison.

## La 2FA dans votre gestionnaire pour vos autres comptes

1Password et Bitwarden Premium permettent de **stocker les codes TOTP** de vos autres comptes directement dans votre coffre. Pratique pour centraliser, mais attention à la circularité mentionnée plus haut.

Stratégie recommandée :
– **Codes TOTP du gestionnaire MDP** : dans Authy (application séparée)
– **Codes TOTP de vos autres comptes** : dans votre gestionnaire MDP si vous êtes Premium

Cela évite le problème du serpent qui se mord la queue.

[CTA:1password]

[IMAGE:two-factor authentication concept with smartphone and lock icons, dark navy background, orange 2FA code visualization, NO PEOPLE, no faces, authentication security concept with shield and verification checkmark]