Quand on configure un service pour la double authentification, il donne généralement un QR à scanner dans l’application de TOTP (Google Authenticator ou autre).
À partir de là, plusieurs options :
soit tu scannes directement le QR code avec la version mobile de Bitwarden,
soit tu scannes le QR code avec une application de lecture de code QR. L’application va alors te sortir une URL du genre otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example. Il faut alors recopier la partie en gras (elle peut être plus ou moins longue) dans Bitwarden.
soit tu scannes le QR avec une application de TOTP qui permet d’afficher les clés (ce n’est pas le cas de Google Authenticator à ma connaissance, mais c’est le cas par exemple de FreeOTP et Aegis). Tu pourras alors afficher la clé et la recopier dans Bitwarden,
soit le service t’affiches la clé, en plus du QR code (des fois en sélectionnant d’abord une option du genre « Saisie manuelle »), et tu peux la recopier directement dans Bitwarden.
Cela peut être le service qui définit qu’une clé doit être renouvelée à intervalles réguliers, pas le QR code qui peut être lu et réutilisé pour recréer exactement la clé. Une application d’authentification qui a scanné le code à un moment donné garde cette clé. L’application qui génère le code ne communique rien sur Internet, d’ailleurs elle fonctionne hors ligne.
Là on parle bien du système TOTP, pas d’authentification qui utiliserait une autre méthode.
C’est une application qui s’appelle FortiToken je sais pas quel est le format mais juste que ça prouve que la double authentification ça embête avant tout ceux qui ont un accès légitime.
Soit le copier dans le presse-papier sur demande à partir de la liste des services :
Soit le copier automatiquement dans le presse-papier après avoir fait la saisie automatique de l’identifiant et du mot de passe. Pour ça, il faut activer une option dans Paramètres > Options :
Alors oui, peut-être quelque chose qui utilise une technique propriétaire, c’est parfois le cas avec certaines solutions professionnelles (notamment celles qui utilisent plutôt une notification push pour approuver la connexion), des VPN etc.
Sinon pour « embêter ceux qui accès légitime », je dis souvent que plus de sécurité implique parfois des contraintes. Et ces contraintes sont parfois minimes comparé au service rendu : perdre 3 secondes de plus pour entrer un code ou passer des semaines à se remettre d’une cyberattaque, pour une entreprise par exemple le choix est fait. Après, pour l’utilisateur banal, c’est sûr que ça peut faire chouiner un peu.
« Comment une double authentification ne prend pas plus de temps que taper simplement un mot de passe? »
J’ai opté pour des Yubikey. Branchée à coté de mon clavier une simple pression dessus suffit. Si une authentification est nécéssaire depuis un téléphone, avec le NFC il suffit juste de la placée à coté du mobile.
Depuis combien d’annees ces ennuis ont étés créés et ici aussi? ces ennuis représentent 90% des utilisateurs des OSs non libres comme Apple et Microsoft avec les OSs libres comme Debian, Ubuntu ou studio-ubuntu SANS les AVs !!Qui sait ce qui a commencé ? ben, tout bêtement Microsoft + les app’s de courrielleur et de navigateur au choix ! ! ! Si les réglages de ces app’s ont étés fait parfaitement , il n’y aura qu’avec les mails frauduleux transférés dans les « indésirables » Depuis + de 10 ans je n’ai que certains OSs libres qui fonctionnent très bien, même avec github ou j’ai un compte… Par contre, avoir eu Microsoft il y a QQs années, j’ai eu cette chance d’apprendre QQs tutos de ceci et de cela avec les OSs libres
