Binance permet d'activer simultanément plusieurs méthodes 2FA. Cet article propose la solution de superposition la plus robuste. Options de téléchargement : Site officiel Binance, application mobile App officielle Binance, si l'application n'est pas installée sur iOS, consultez le Guide d'installation iOS.
I. Types de 2FA disponibles
| Type | Sécurité | Commodité |
|---|---|---|
| Clé matérielle (YubiKey / Passkey) | ★★★★★ | ★★★★ |
| Authenticator (TOTP) | ★★★★ | ★★★★★ |
| Code de vérification par e-mail | ★★★ | ★★★★ |
| Code de vérification par SMS | ★★ | ★★★★ |
| Code de secours | ★★★ (Usage unique) | ★★ |
II. Solution de superposition recommandée
La combinaison en or
- Connexion principale : YubiKey (la plus forte)
- Lorsque YubiKey n'est pas à portée de main : Authenticator
- Opérations spéciales : Code de vérification par e-mail (avec code anti-phishing)
- Si l'Authenticator échoue également : Code de secours
- Canal de notification : SMS (réception uniquement, sans validation)
Chaque couche a une option de secours, et chaque couche est techniquement plus faible (le coût d'attaque augmentant à chaque niveau contourné).
III. Solution de protection minimale
Si vous souhaitez en faire le minimum :
- Authenticator + Code de secours + Code anti-phishing par e-mail
En faisant ces trois choses, vous êtes plus en sécurité que 95 % des utilisateurs.
IV. Utilisation selon différents scénarios
Connexion quotidienne
- Nouvel appareil : YubiKey + E-mail
- Appareil de confiance : Exempté (peut être réglé sur une exemption de 30 jours)
Retraits
- YubiKey + Code e-mail (toujours requis)
- Des retraits importants pourraient ajouter les SMS (si lié)
Modification des paramètres
- YubiKey + Authenticator + E-mail
- La modification de l'e-mail / numéro de téléphone nécessite un verrouillage de 72 heures
Urgence (Perte de YubiKey)
- Utilisez l'Authenticator
- Si pas d'Authenticator, utilisez le code de secours
- Si aucun n'est disponible → Réinitialisation par le service client
V. Processus de configuration
Ordre d'exécution
- Créez un compte
- Liez immédiatement l'Authenticator + copiez la graine secrète
- Liez les SMS (uniquement pour les notifications)
- Activez le code anti-phishing
- Achetez deux YubiKey + liez-les
- Conservez les codes de secours
- Activez la liste blanche de retrait
En suivant cet ordre, votre compte sera sous une protection forte dès le début.
VI. Maintenance régulière
Chaque mois
- Audit de 30 minutes de l'historique de connexion / API / liste blanche
- Test de l'Authenticator et du code de secours (utiliser un pour valider la connexion)
Chaque trimestre
- Modification du mot de passe
- Vérification de la graine sauvegardée (regénérer les codes sur un appareil de secours)
Chaque année
- Réinitialisation de la 2FA (suppression de l'ancienne graine, liaison d'une nouvelle)
- Mise à jour du firmware de la clé matérielle
- Exercice pratique de "Perte de YubiKey"
VII. Point de vue de l'attaquant
Regardons vos défenses du point de vue d'un attaquant :
Attaque et défense 1 : Obtenir le mot de passe
Attaquant : Essaie de se connecter après avoir obtenu le mot de passe. Vous : Bloqué par YubiKey + Authenticator.
Attaque et défense 2 : Obtenir le mot de passe + Authenticator
Attaquant : Pêche le mot de passe + le code de 30 secondes. Vous : La YubiKey est physique et ne peut pas être hameçonnée. Bloqué.
Attaque et défense 3 : SIM Swap pour obtenir les SMS
Vous : Le SMS n'est qu'une notification, pas un canal 2FA. Bloqué.
Attaque et défense 4 : E-mail compromis
Attaquant : Obtient le code e-mail + réinitialise le mot de passe. Vous : La YubiKey exige toujours un contact physique. Bloqué.
Attaque et défense 5 : Vol physique de la YubiKey
Attaquant : Vole physiquement la YubiKey + force la saisie du mot de passe. Vous : Il s'agit d'une attaque d'ingénierie sociale. La dernière ligne de défense pour les montants importants est le cold wallet. Les fonds sur le compte chaud Binance seront perdus, mais le cold wallet reste en sécurité.
VIII. Équilibre avec l'expérience utilisateur
Chaque couche 2FA supplémentaire = 5 à 10 secondes en plus par opération. Le coût quotidien n'est pas important.
Cependant, le coût de configuration initiale est élevé — acheter la YubiKey + configurer la graine + imprimer les codes de secours peut prendre une après-midi. Cette après-midi sera bénéfique pour le reste de votre vie.
FAQ
Q1 : Est-il possible de désactiver un type de 2FA ? Oui. Sécurité du compte → Éléments 2FA individuels → Désactiver. Mais il est recommandé de conserver au moins deux couches.
Q2 : Les multiples 2FA affectent-elles les API ? L'API utilise une clé API distincte. La 2FA n'affecte pas directement les appels API, mais la création de la clé API nécessite elle-même une vérification 2FA.
Q3 : Quelle est la 2FA la moins chère ? L'Authenticator est gratuit. Une YubiKey coûte environ 50 $. Le meilleur rapport qualité-prix est la YubiKey.
Q4 : Peut-on utiliser "Faire confiance à l'appareil pendant 30 jours" pour éviter la 2FA ? Oui. Mais les retraits / la modification des paramètres nécessitent toujours la 2FA.