Commentaires : Google enterre enfin les SMS pour l’authentification sur Gmail : voici ce qui va changer

Les codes envoyés par SMS pour sécuriser les connexions, c’est bientôt terminé sur Gmail. Google l’a confirmé : cette méthode jugée trop vulnérable va disparaître au profit d’un système plus sécurisé.

Perso, les SMS ça m’allait très bien.

Les QR codes, on ne sait pas à l’avance ce qu’il y a dedans …

1 « J'aime »

J’ai pas bien compris
Si je suis sur mon pc, je dois scanner un qr-code avec mon smartphone? Une fois que c’est fait, comment se fait l’accès à mon compte sur mon pc ?

Le fait de cliquer sur le lien sur smartphone, donne accès au compte sur pc, c’est ça?

3 « J'aime »

La clé matérielle Fido2/U2F c’est encore le mieux.

1 « J'aime »

Oui, c’est ça. Le QR est un lien, contenant un identifiant de la sessions que tu tentes d’ouvrir.

En suivant le lien depuis un smartphone déjà connecté au compte Google (attention, c’est un point important ça, ça ne peut marcher si le téléphone n’est pas déjà associé au compte), ça notifie le serveur pour autoriser l’ouverture de la session avec le compte en question.

Et quand on veut connecter son smartphone à son compte google ça se passe comment avec un QRCode ?

Si on n’a pas encore de smartphone connecté au compte, on n’a soit pas encore la 2FA activé, et donc pas besoin de 2FA pour associer le smartphone au compte, soit on a une autre méthode de 2FA, qu’on peut donc utiliser pour associer le smartphone.

Dans le cas où on aurait perdu/cassé le smartphone associé au compte, il y a des solutions de secours, notamment une liste de codes à usage uniques qu’on peut enregistrer. Bon bien sûr, faut avoir anticipé et récupéré ces codes avant de se retrouver à en avoir besoin…

Dans le pire des cas, faudra passer par le support de Google pour faire désactiver la 2FA.

Google utilise les SMS pour la création d’un compte après c’est une notification où il faut dire oui c’est bien moi.

La technique du SMS est utilisé par beaucoup non pas pour des raisons d’authentification mais de limitation de multi comptes.

En passant par un autre service Google comme YouTube par exemple, ça peut le faire ou pas? L’article ne mentionne que Gmail et de toutes façons je suppose que tout le monde n’a pas forcément un smartphone compatible pour lire les QR codes ou déjà associé à un compte.

YouTube, c’est le compte Google, donc si tu as activé la 2FA sur le compte Google mais n’a plus de 2FA utilisable, tu pourras pas non plus te connecter au compte sur YouTube.

C’est probablement un abus de l’engagne, l’authentification sur le compte Google ne dépend pas du service auquel on se connecte, le compte est le même pour tous les services Google, et les procédures d’authentification aussi.

Normalement n’importe quel smartphone avec un appareil photo sait lire des QR. Après, si t’as pas du tout de smartphone, il ne faut pas activer la 2FA ou opter pour un autre mode de 2FA… Google propose 5 modes de 2FA différent, dont (les codes de secours) qui ne nécessite aucun appareil :

1 « J'aime »

Tu en penses quoi de la clé Winkeo FIDO2 de Neowave ?

euhhhh … je vois déjà beaucoup de problèmes à cette solution, déjà je suis pas censé avoir le même compte sur PC et sur mon smartphone. et si ce n’est pas le cas en quoi utiliser un QR code sur un smartphone qui n’est pas au compte que je veux utiliser va sécuriser mon compte ???

A mon avis, Google devrait nous demander notre avis ou nous laisser le choix après tout c’est mon compte c’est moi qui prend le risque d’être piraté !!!

Et puis aujourd’hui la plupart des sites utilisent gmail pour s’authentifier directement sur le site en question … du coup vous avez des dizaines de sites liés à votre compte, pour moi c’est la que se trouve le risque de piratage !!!

Je ne connais pas ce modèle.

La plupart des gens qui ont un compte Google ont bien le même compte sur les deux…

Dans ce cas ça ne marchera pas, tout simplement…

Non, le fait qu’un site utilise le compte Google comme identifiant n’expose pas plus le compte Google au piratage, le site n’aura accès qu’aux données du compte pour lequel tu as donné l’autorisation (et le plus souvent, c’est vraiment pas grand chose, du genre adresse mail et nom/prénom).

Tout comme @mamide, je n’ai pas le même compte, voir je n’ai pas du tout de compte Google associé que ce soit avec mon ancien téléphone (dont la caméra est cassé), soit à mon nouveau.

J’espère qu’il sera possible d’utiliser un logiciel standard 2FA comme KeepPassXC qui est un gestionnaire de mdp mais gère également les jetons ITOP.

Pour ma part, j’ai un compte Google avec sécurisation par mdp, et je m’étais créé un compte pour commenter de temps en temps des vidéos YT. Je ne l’ai pas sécurisé avec un 2FA parce que je n’en voyais pas l’utilité. J’espère que l’on ne sera pas obligé de passer à du 2FA.

Oui, le TOTP RFC 6238, ça doit faire 15 ans que c’est possible avec les comptes Google, et il n’ont pas évoqué l’idée de l’abandonner…

1 « J'aime »

Il suffit d’utiliser une application qui sait le faire.

Oui

Avec n’importe quel appareil enregistré dans votre compte Google qui possède un lecteur QR

Je n’ai pas mon wPC sous la main.
Suite à action sur mon téléphone je reçois un QR code de vérification d’identité sur le téléphone…
JE LE SCANNE COMMENT ! ? :grin:
Même avec un smartphone pliable c’est pas gagné ! :grinning: