Depuis des années déjà, on nous le rappelle : le mot de passe n’est pas une solution de sécurité fiable. Alors, peu à peu, nous avons activé la double authentification un peu partout. Mais toutes les solutions ne se valent pas.
C’est bien beau tout ça ,mais encore faut t_il que les services concernés le permettent .pour ma part ,j’utilise Authy,mais force est de constater que peu de sites soient compatibles et privilégient le SMS .j’ai beaucoup de comptes ,et mes 10 doigts suffisent à comptabiliser ceux que je peux utiliser avec Authy
6 « J'aime »
C’est surtout qu’un SMS tout le monde c’est ce que c’est, un 2FA / MFA non et pour Madame Michue qui veut accéder à son compte bancaire ça change tout.
Après il ne faut pas non plus croire que le 2Fa c’est la panacée. Ce n’est qu’une fonction connue appliquée à une 2e clef secrète. A partir du moment ou la clef secrete est connu, il est possible de générer autant de 2FA juste que l’on veut.
L’accès multi appareil ce n’est pas toujours le cas.
Les banques par exemple empêchent cela et mettent 3 jours à valider le nouveau téléphone, le SMS n’avait pas ce problème.
Le système est bien quand c’est basé sur un système universel comme ça on peut arriver à trouver quelques applications Windows. Microsoft permet par exemple d’utiliser un TOTP à la place de son application Microsoft Authentificator c’est très pratique de pouvoir faire un copier coller du code directement sous Windows.
On peut générer des codes à partir d’une application déjà configurée, on ne peut pas configurer une seconde application car le code d’initialisation est lui aussi temporaire.
Surtout que « la clef secrète » est souvent la clef d’origine suivie d’une lettre…
Non, la clé secrète pour l’OTP n’est en général pas basée sur « la clé d’origine » (je suppose que tu parles là du mot de passe ?). C’est généralement une clé générée aléatoirement au moment de l’activation du l’OTP sur un compte.
1 « J'aime »
Ce serait bien de mettre entre parenthèse le sens du sigle 2FA (2 Factor authentication) lors de la première mention dans l’article, car M et Mme tout le monde, ne savent peut-être pas ce que ça signifie même si l’explication française s’y trouve.
1 « J'aime »
Non, la clé secrète n’est pas temporaire. Elle est stocké côté application, elle en a besoin à chaque fois qu’elle génère un code.
On ne peut pas la redemander plus tard au serveur, car lui ne le conserve normalement pas, mais on peut configurer plusieurs applications avec la même clé si on a pris soin de la conserver ou si l’application permet de le visualiser (par exemple, dans Bitwarden on peut afficher la clé).
Certains services permettent aussi d’enregistrer plusieurs applications 2FA avec chacune sa propre clé.
Mauvaise expérience avec l’Authenticator de Microsoft pour me connecter à mon compte avec cette méthode sans mot de passe: l’application tournait en boucle, envoie d’un code puis un autre code sur mon email et ainsi de suite, au bout de plusieurs essais l’application se bloque et il faut attendre 48h …
Par miracle j’ai pu me reconnecter à mon compte Microsoft en revenant à la méthode avec mot de passe.
Une application brouillonne, faite par des ingénieurs pour des ingénieurs, vraiment à fuir (de plus la fonction QR code n’était pas non plus proposée quand j’ai tout désinstallé)
Lorsque la clé OTP du boulot (clé physique) a été abandonnée au profit d’une appli sur téléphone, j’en ai profité pour y enregistrer un maximum de sites prenant en charge cette double authentification. Perso je plébiscite cette solution qui mériterait d’être davantage connue.
Ce sont de bonnes raisons.
Mais rapidement, on a 3 ou 4 applis de ce genre: Ms, Google, FreeOTP - et souvent le site ne dit plus sur lequel il faut aller.
C’est juste un enfer actuellement.
1 « J'aime »
Pour ma part aucun soucis, je l’utilise depuis mon ancien Windows Phone. Seul Amazon pose problème et m’envoie un SMS à la place.
Ce qui m’embête c’est quand on change de smartphone, c’est pas vraiment intuitif…
Parce qu’il n’y a tout simplement pas besoin d’aller sur une application en particulier… Elles implémentent toutes le même standard (RFC 6238) et tu peux utiliser n’importe quelle application implémentant ce standard avec n’importe quel service utilisant ce standard.
Je suis d’accord mais l’inconvénient majeur si votre téléphone est exposé par accident ou un simple oubli tout le monde peut accident aux codes d’authentification sans même besoin du code c’est le cas avec Google Authentificator
Mais comme il s’agit d’un second facteur, le code seul ne suffit en général pas à s’identifier auprès d’un service…
En outre il faut bien le code de déverrouillage du téléphone, ce qui limite quand même pas mal le risque (il faut que quelqu’un ait accès au téléphone déverrouillé, ce n’est pas aussi facile que d’avoir juste accès physique au téléphone…), et on peut aussi opter pour une application de TOTP qui demande un mot de passe pour y accéder (c’est le cas par exemple de Authy, de Bitwarden, de WinAuth…).