Mon ami Larry a partagé une histoire poignante avec moi récemment. Quelqu'un a réussi à accéder à son compte Fidelity et essayait de transférer ses fonds !
Ce n'était pas quelqu'un qui prenait sa carte de crédit et achetait quelque chose. Vous êtes protégé dans ce genre de situation et vous n'êtes pas responsable de plus de 50 $ sur les frais non autorisés (la plupart des cartes de crédit ne vous rendront responsable de rien). C'était son compte de placement. Son compte de retraite. Le sien compte épargne. Aïe.
C'était une affaire importante et effrayante. Heureusement, les institutions financières constatent tout le temps des comportements louches. L'équipe de sécurité de Fidelity a vu l'activité suspecte, l'a arrêtée et a pu le joindre pour clarifier les choses. Quelques moments effrayants pour Larry mais c'est très important pour le reste d'entre nous.
Activez l'authentification à deux facteurs sur vos comptes financiers.
(Dans une version précédente de cet article, j'ai confondu les termes authentification et autorisation. Je voulais utiliser l'authentification.)
Qu'est-ce que l'authentification à deux facteurs ?
L'authentification à deux facteurs, souvent abrégée en 2FA ou TFA, consiste à fournir une autre couche d'authentification en plus de votre mot de passe (également, un gestionnaire de mots de passe comme 1Mot de passe peut aider aussi!). Il existe trois catégories principales d'authentification: quelque chose que vous connaissez, quelque chose que vous avez et quelque chose que vous êtes.
Si vous utilisez GMail, il y a de fortes chances que vous connaissiez son fonctionnement. Lorsque vous essayez de vous connecter à votre messagerie, voyez-vous parfois l'écran à droite? C'est une authentification à deux facteurs. Ils confirment que c'est bien vous qui essayez d'accéder à votre compte. C'est 2FA.
À un guichet automatique, votre carte ATM est quelque chose que vous avez et votre code PIN est quelque chose que vous connaissez. L'ajout d'un scan de la rétine ou d'une empreinte digitale serait quelque chose que vous êtes. La partie « quelque chose que vous êtes », la biométrie, est souvent laissée de côté car vous ne pouvez pas la modifier facilement si vous le devez. Si la banque les stocke et que ces informations sont volées, vous ne pouvez pas changer quelque chose sur vous aussi facilement qu'un mot de passe ou une carte de guichet automatique. 🙂
Pourquoi est-ce important? L'authentification à un facteur est moins sécurisée que l'authentification à deux facteurs car… eh bien, deux c'est plus qu'un. 🙂
Si vous comptez uniquement sur un nom d'utilisateur et un mot de passe, vous vous exposez à de nombreux risques, car c'est tout ce dont quelqu'un a besoin pour accéder à votre compte et faire des ravages dans vos finances. Avec l'authentification à deux facteurs, dans sa forme la plus courante, vous recevriez un message texte avec un code PIN. Lorsque vous vous connectez, vous devez fournir ce code PIN supplémentaire pour obtenir l'accès. C'est un inconvénient mineur pour vous, c'est un inconvénient majeur pour quelqu'un qui cherche à s'introduire dans votre compte. Ils auraient aussi besoin de votre téléphone.
Le 2FA est-il parfait ? Non, il est toujours possible de s'introduire dans votre compte, mais c'est un peu plus compliqué. Un peu plus difficile signifie que les voleurs pourraient passer au compte suivant.
Vérifiez ici si votre institution financière l'offre. Beaucoup offriront 2FA avec un message texte, un appel téléphonique ou un e-mail. Si votre institution financière le propose, je vous recommande de le faire.
J'ai suivi ce processus l'autre jour avec Vanguard et le flux de base sera similaire.
Configuration de l'authentification à deux facteurs sur Vanguard
Après avoir vérifié twofactorauth.org et appris que Vanguard proposait 2FA, je suis allé le configurer. Très facile.
Pour ce faire, connectez-vous à votre compte et cliquez sur le menu déroulant Mes comptes dans le menu du haut.
Cliquez ensuite sur Code de sécurité dans la section Profil de sécurité en bas à droite.
Vous serez invité à afficher une page d'inscription suivie d'une page de conditions générales du service de code de sécurité.
Ensuite, vous sélectionnez votre numéro de téléphone et votre méthode de contact (j'ai choisi le texte).
Vous recevrez un SMS avec le numéro à six chiffres et dix minutes pour le saisir avant son expiration.
Enfin, définissez les règles d'utilisation de 2FA - vos choix sont uniquement un nouvel ordinateur ou tout le temps.
J'ai choisi uniquement lorsque Vanguard ne reconnaît pas mon ordinateur ou mon appareil.
Il y a une grosse NOTE là-dessus qui aura un impact sur nous - cette sécurité supplémentaire brise les agrégateurs financiers comme Mint et Yodlee et j'ai supposé que cela se briserait Capital personnel. Je viens de me connecter et sauf erreur de ma part, Personal Capital a toujours pu se mettre à jour normalement. Même si ce n'était pas le cas, cela aurait été dommage mais la sécurité prime sur la commodité.
Ce n'est pas une solution parfaite, il n'y en aura jamais, mais ce sera une couche de sécurité supplémentaire. Si rien d'autre, c'est aussi un système d'alerte précoce puisque vous commencerez à recevoir des messages texte pour les tentatives de connexion que vous n'avez pas faites !
N'oubliez pas de « verrouiller par numéro » votre numéro de téléphone
Maintenant que vous disposez d'une autorisation à deux facteurs, il est important de sécuriser votre téléphone. De nombreuses personnes utilisent leur téléphone pour 2FA et les voleurs le savent – ils peuvent donc essayer de voler votre numéro de téléphone en le transférant sans votre permission.
Heureusement, il existe une solution simple – Number Lock (c'est ainsi que Verizon, mon opérateur, l'appelle). En verrouillant votre numéro, il ne peut pas être porté sans que vous le « déverrouilliez » au préalable.
Voici la Réponse à la FAQ de Verizon expliquant comment ça marche :
Qu'est-ce qu'un numéro de verrouillage ?
Si un escroc obtient vos informations personnelles, il pourrait transférer votre numéro de téléphone portable à un autre opérateur. Cela peut être appelé une sortie de port non autorisée. Ensuite, ils pourraient recevoir vos appels et vos SMS pour prendre le contrôle d'autres comptes, comme les services bancaires et les réseaux sociaux.Vous pouvez configurer gratuitement un numéro de verrouillage pour protéger votre numéro de téléphone mobile contre un transfert non autorisé. Une fois qu'un verrou est configuré pour un numéro, ce numéro ne peut pas être transféré sur une autre ligne/opérateur à moins que vous ne supprimiez le verrou. Vous pouvez configurer un verrouillage numérique avec le site Web et l'application My Verizon ou en appelant le service client au *611.
Ceci n'est généralement pas activé par défaut, vous devrez donc vous connecter à votre compte et l'activer.