guide

Comment stocker les codes de secours 2FA en sécurité

6 min de lecture

Les codes de secours sont ce que vous souhaiterez avoir eu

Quand vous configurez l’authentification à deux facteurs, la plupart des services vous donnent un ensemble de codes de secours à usage unique. Ce sont vos clés d’urgence. Si votre téléphone casse, se fait voler, ou si vous supprimez accidentellement votre application d’authentification, les codes de secours sont comment vous rentrez.

Beaucoup de gens dépassent cette étape pendant la configuration. Ils pensent qu’ils s’en occuperont plus tard, ou ils font une capture d’écran des codes et oublient où l’image est allée. Puis six mois plus tard, ils sont bloqués hors de leur email et déposent des tickets de support.

Ne soyez pas cette personne. Sauvegarder les codes de secours prend deux minutes et peut vous sauver des heures de maux de tête de récupération.

Ce que sont réellement les codes de secours

Les codes de secours sont des chaînes pré-générées à usage unique (généralement 8-12 caractères) qui fonctionnent comme substitut à votre code TOTP. Chaque code peut être utilisé exactement une fois. La plupart des services vous en donnent entre 5 et 10.

Ils sont générés en même temps que vous activez la 2FA, et ils sont liés à votre compte. Ils n’expirent pas à moins que vous ne régénériez un nouvel ensemble, ce qui invalide les anciens.

Pensez à eux comme des clés de maison de rechange. Vous ne les utilisez pas tous les jours, mais quand vous en avez besoin d’une, vous en avez vraiment besoin d’une.

Où les stocker

Il y a quelques approches raisonnables, chacune avec des compromis.

Dans un gestionnaire de mots de passe

C’est probablement l’option la plus pratique pour la plupart des gens. Si vous utilisez déjà un gestionnaire de mots de passe (1Password, Bitwarden, KeePass, etc.), ajoutez vos codes de secours comme note attachée à l’entrée de connexion pertinente.

Pourquoi cela fonctionne : Votre gestionnaire de mots de passe est crypté, synchronisé entre appareils, et vous l’ouvrez déjà quand vous vous connectez aux trucs. Les codes sont là quand vous en avez besoin.

Le risque : Si vous perdez l’accès à votre gestionnaire de mots de passe et à votre authentificateur en même temps, vous êtes coincé. C’est improbable si votre gestionnaire de mots de passe utilise une méthode de déverrouillage différente (comme un mot de passe maître ou une passkey) que votre application d’authentification, mais cela vaut la peine d’y réfléchir.

Atténuation : Gardez au moins une méthode de secours en dehors de votre gestionnaire de mots de passe (comme une copie imprimée).

Imprimé sur papier, stocké quelque part de sûr

Imprimez vos codes de secours et mettez-les quelque part physiquement sécurisé : un coffre-fort à la maison, un tiroir verrouillé, une boîte anti-feu. Quelque part où vous garderiez un passeport ou un certificat de naissance.

Pourquoi cela fonctionne : Le papier ne peut pas être piraté à distance. Il n’a pas besoin de piles ni de connexion Internet. Il sera encore lisible dans dix ans.

Le risque : Le papier peut brûler, être inondé, ou être jeté par quelqu’un qui ne sait pas ce que c’est. C’est aussi pas génial si vous avez besoin de vos codes pendant que vous voyagez.

Atténuation : Étiquetez le papier clairement (mais pas si clairement qu’un étranger saurait à quoi servent les codes). Quelque chose comme “Codes de récupération de compte” convient. N’écrivez pas les mots de passe associés à côté.

Sur une clé USB cryptée

Copiez vos codes de secours dans un fichier texte, mettez-le sur une clé USB, et cryptez la clé (ou au minimum, cryptez le fichier). Stockez la clé quelque part de sûr, comme à côté de vos copies imprimées.

Pourquoi cela fonctionne : Vous obtenez une copie numérique qui est portable et cryptée. Si vous devez voyager avec vos codes, vous pouvez amener la clé.

Le risque : Les clés USB tombent en panne. Elles se perdent aussi facilement car elles sont petites. Le cryptage ne fonctionne que si vous vous souvenez du mot de passe. Et si vous êtes le genre de personne qui a un tiroir plein de clés USB mystères, bonne chance pour trouver la bonne.

Atténuation : Étiquetez la clé. Testez-la périodiquement pour vous assurer qu’elle fonctionne encore. Stockez le mot de passe de cryptage dans votre gestionnaire de mots de passe (oui, cela crée une dépendance, mais c’est une dépendance raisonnable si vous avez aussi une sauvegarde imprimée).

Où ne pas les stocker

Quelques endroits qui semblent pratiques mais ne sont pas géniaux :

  • Un fichier texte sur votre bureau. N’importe qui qui accède à votre ordinateur obtient vos codes. Un malware peut les lire. Vous allez probablement supprimer accidentellement le fichier pendant un nettoyage.
  • Une capture d’écran dans votre pellicule. Les bibliothèques de photos de téléphone se synchronisent vers le cloud, apparaissent dans des albums partagés, et s’affichent dans des endroits inattendus. Ce n’est pas crypté.
  • Un email à vous-même. Si quelqu’un compromet votre email, il obtient vos codes de secours, ce qui est particulièrement mauvais car l’email est généralement la clé maîtresse pour réinitialiser tout le reste.
  • Un post-it sur votre écran. J’aimerais que cela aille sans dire.

Combien de méthodes de secours devriez-vous avoir ?

Deux est un bon nombre. Une numérique (gestionnaire de mots de passe) et une physique (copie imprimée dans un endroit sûr). Cela couvre les principaux modes de défaillance : si la copie numérique est inaccessible, vous avez le papier ; si le papier est indisponible, vous avez la copie numérique.

Aller au-delà de deux ajoute de la complexité sans beaucoup de bénéfice à moins que vous ne protégiez quelque chose de valeur inhabituellement élevée.

Régénérez les codes quand vous les utilisez

Chaque fois que vous utilisez un code de secours, il est consommé. Il ne fonctionnera plus. Si vous avez puisé dans vos codes, connectez-vous au service et générez un nouvel ensemble. Puis mettez à jour tous les endroits où vous avez stocké les anciens.

Certains services vous montrent combien de codes de secours il vous reste. Vérifiez cela occasionnellement. Si vous n’en avez plus qu’un ou deux, régénérez.

Une routine rapide pour les nouveaux comptes

Chaque fois que vous activez la 2FA sur un nouveau compte :

  1. Complétez la configuration et confirmez que votre authentificateur fonctionne
  2. Copiez les codes de secours
  3. Collez-les dans une note dans votre gestionnaire de mots de passe
  4. Imprimez une copie pour votre sauvegarde physique
  5. Continuez votre vie

Cela prend deux minutes. Faites-en une habitude et vous ne serez jamais la personne qui cherche désespérément “bloqué hors de compte téléphone perdu” à minuit.

Si vous voulez tester votre configuration TOTP et vous assurer que les codes génèrent correctement, vous pouvez essayer 2fa.zip. Il fonctionne dans votre navigateur et n’envoie rien à un serveur.

Sécurisez vos comptes avec l'authentification à deux facteurs

Générez des codes TOTP instantanément, directement dans votre navigateur.

Essayez notre générateur de codes 2FA gratuit

Articles connexes

Comment fonctionne l'authentification à deux facteurs : Guide pour débutants

Une explication simple de l'authentification à deux facteurs pour les novices en sécurité en ligne. Ce qu'est la 2FA, pourquoi c'est important, et comment la…

Lire la suite