La plateforme GitHub va bientôt renforcer sa sécurité en imposant à ses utilisateurs l’authentification à deux facteurs.
1 « J'aime »
ca me saoule ces obligations.
chacun devrait pouvoir choisir sil veut ou non protéger son compte comme un coffre fort…
j’ai un compte qui ne présente aucune importance, ca ne me dérangerait pas plus que ça s’il est volé, j’assume… j’ai pas envie de faire plus de manips pour m’y connecter
5 « J'aime »
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal. Les gens qui estiment avoir besoin de sécurité supplémentaire n’ont certainement pas attendu cette obligation pour activer l’authentification à deux facteurs.
Mais c’est vrai aussi d’un coté que certains comptes n’ont pas vraiment d’importance. Entre une boîte e-mail qui est utilisée de manière professionnelle et un compte sur un forum, il est vrai que je ne vais pas passer du temps à activer l’authentification à deux facteurs, un mot de passe fort et unique suffira dans bien des cas.
Ca ne représente pas vraiment plus de manipulations au quotidien, la plupart des sites ont une option pour enregistrer l’appareil ou le navigateur comme sûr (exemple: si tu te connectes toujours à partir de ton propre téléphone ou PC, tu n’auras pas à entrer le code unique à chaque fois).
1 « J'aime »
C’est une bien mauvaise idée… Au lieu de mettre 30s à te connecter, il te faudra 4/5 min et puis si ton téléphone est en panne de batterie c’est mort…
2 « J'aime »
c’est sans intérêt, si ce n’est de finir par devoir vivre de force avec des applications qui deviennes nécessaire pour utiliser a moindre bêtise.
Surtout que cela sert strictement à rien, les véritables hacker se passe de la double authentification , a pet gêner l’utilisateur lambda …
1 « J'aime »
Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres. Et c’est pour ça qu’ils préfèrent tout protéger.
La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).
Et ta double authentification ne passe pas obligatoirement par ton téléphone.
La double authentification de GitHub, c’est du TOTP standard, donc ça marche avec toutes les applis TOTP, sur téléphone, tablette, ordinateur ou même en extension de navigateur.
3 « J'aime »
Github étant utilisé notamment par des entreprises et pour des gros projets open source je trouve que sécuriser les accès ce n’est pas plus mal.
ah mais je n’ai pas dit le contraire 
Le problème c’est que sur une plateforme comme GitHub, ton compte volé peut ensuite éventuellement avoir des impacts négatifs sur d’autres.
En quoi ca impacte négativement les autres? Peux tu donner plus de précisions?
La réalité, si tu configures bien les choses, c’est plutôt qu’au lieu de mettre 5s, tu en mettras 6 une fois de temps en temps (et 5 la plupart du temps).
Et ta double authentification ne passe pas obligatoirement par ton téléphone.
Là aussi, plus de précisions ne seraient pas de refus.
Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe?
Si le site permet d’enregistrer les informations de connexion en local (ce qui est le cas généralement), ça prendra peut être plus de temps mais une seule fois. A moins que tu n’utilises un ordinateur public à chaque fois.
Premièrement taper, son mot de passe. Ensuite, ouvrir son application d’authentification qui génère un code (ou le recevoir par SMS si on a choisi cette méthode, qui est de moins en moins recommandée) et taper ce code.
A ce moment, si le site permet de définir « se souvenir de ce navigateur », alors il créera un cookie et tu n’auras plus à taper ce code à chaque fois. Ton compte sera à la fois sécurisé (quelqu’un qui aurait ton mot de passe ne pourrait de toutes façons pas accéder) et sans trop de contraintes pour toi. Évidemment, si on a un accès physique à ton appareil ça changerait la donne.
1 « J'aime »
Ton compte peut interagir avec d’autres, déposer des commentaires, soumettre des PR…
Et si tu as des repos publics, il peut déposer dedans du code vérolé, que d’autres pourraient récupérer…
2 « J'aime »
Mon gestionnaire de mot de passe me met automatiquement mon token de double authentification dans le presse papier après avoir rempli le login/mot de passe.
Donc passer la double authentification ne me prend pas plus de temps que de faire un Ctrl-V.
Si éventuellement le token est pas généré par mon gestionnaire de mots de passe, ça me prend un peu plus de temps, le temps de lancer WinAuth et de taper son mot de passe à lui… Mais même comme ça, ça fait pas 30 secondes. Prétendre qu’il y en a pour 4-5 minutes, c’est n’importe quoi…
Et ensuite, cette double authentification n’est pas systématique, une fois un navigateur enregistré, il ne la redemande qu’au bout d’une certaine durée, pas à chaque fois. Les fois intermédiaires, c’est donc juste login/mot de passe.
2 « J'aime »
Dans mon cas les cookies sont automatiquement effacés à la cloture de mon navigateur, donc j’aurais à subir la double authentification à chaque fois même si c’est le même navigateur. Pour preuve twitter m’envoit systématiquement un mail à chacune de mes connexions pour me dire que je me suis connecté à un nouvel appareil…qu’est ce que c’est chiant.
certains vont me dire « t’as qu’à pas les effacer, je ne vois pas le problème de garder les cookies » si du coup on rentre dans ce jeu alors on n’a plus la liberté d’utiliser notre navigateur comme on veut.
je n’ai jamais prétendu ça…
Toi non, mais celui à qui je répondais sur le temps que ça prend, oui.
Tout à fait, ça devrait être limité aux cas où il est possible de dépenser l’argent du propriétaire du compte.
Surtout que ce genre de protection se retourne souvent contre le propriétaire. Impossible de se rappeler l’ensemble des doubles authentifications au moment de résilier un numéro de téléphone. Pour les applications de double authentification c’est encore pire, changer de téléphone ou le réinitialiser peut tout bloquer.
1 « J'aime »
Y a un nouveau concept qui a été inventé il y a peu pour palier ce genre de souci. Ça s’appelle la sauvegarde…
En outre les services qui proposent une double authentification via une application TOTP offrent quasiment toujours un moyen secondaire d’authentification…
Par exemple, pour GitHub, si pour une raison ou pour une autre je ne peux pas générer de token TOTP (que je peux déjà générer de plusieurs façons différentes, avec mon gestionnaire de mot de passe installé sur trois PC, mon téléphone et ma tablette + une appli TOTP dédiée sur mon PC principal, mon téléphone et ma tablette), j’ai 7 alternatives disponibles :
- deux clés de sécurité physiques U2F/Fido,
- l’application GitHub Mobile sur mon téléphone et sur ma tablette,
- une liste de 20 codes à usage unique que j’ai sauvegardée sur mon PC principal et dans mon bloc notes en ligne (sans préciser bien sûr que ce sont mes codes GitHub),
- un code à usage unique envoyé par SMS.
Peu de chances que tout ça soit en rade en même temps… Et si c’était un jour le cas, je pense que ma priorité serait pas de me connecter à mon GitHub 
2 « J'aime »
Astuce très simple pour parer l’éventualité de la perte de l’application A2F : faire une capture d’écran du QR code avant de le valider et le garder en lieu sûr. De cette façon, il est possible de recréer la clé sur un autre appareil.
Une clé TOTP est juste une chaîne de caractères qui est ensuite hachée avec l’heure en cours pour obtenir le code à un instant donné.
Attention, le QR ne contient pas que la clé TOTP, il contient souvent aussi le nom du service et l’identifiant (sans le mot de passe bien sûr !).
Il est préférable de sauvegarder la clé seule, qui est juste une séquence alphanumérique plus ou moins longue, qu’on peut facilement extraire du code QR.
Ainsi quelqu’un qui tomberait dessus ne saura pas que ça correspond à ton compte sur un service donné.
Je sais mais ça commence à faire beaucoup de conditions pour que quelqu’un puisse y avoir accès. Il faudrait que la personne ait un accès physique à la machine, qui peut être protégée par un mot de passe et en plus le fichier contenant le QR code en question pourrait lui-même être chiffré si on pousse le bouchon encore plus loin 
Il y a des double authentification où l’on ne peut pas même si on a stocké car il y a une date d’expiration.