Tous les services qui respectent ce standard fonctionnent avec toutes ces applications. Pas de limite.
Ok !
Je viens de tester Authy qui me demande mon N° de Mobile donc exit !
Je viens de tester Last Pass Auth qui lui m’affiche un code systématiquement faux.
En comparant avec Google Authenticator ce n’est d’ailleurs jamais le même !
Les TimeZone et mes device sont identique à la seconde même !
J’ai révoquer la fonctionnalité puis remis sur gmail, je scanne a chaque fois le QR code, sur Google Auth ca fonctionne toujours sur LastPass Auth le code est toujours wrong !
J’avais eu ce pb 1 fois sur Google Auth mais il propose l’option “Time correction for codes” est tout était rentré dans l’ordre. Via LastPass pas d’options et rien à faire, le code a 6 chiffre est toujours faux !
Je viens d’installer le lastpass authentificator ! Sauf qu’en fait il demande le numéro de téléphone pour les demandes backup, et on ne peut pas compléter l’activation sans lui donner ! donc pas possible de n’activer que la partie app sans le sms en secours…
@Korben Maintenant que j’ai une quinzaine de comptes protégés en 2FA via l’application Google Authenticator, as-tu une méthode simple pour migrer vers une autre appli ? T’as vu le bordel pour changer de téléphone déjà ?
Sinon bon article, même si tu tombes chaque jour davantage du côté des conspirationistes. On voit que tu n’es pas dans une boîte privée avec des milliers d’users à satisfaire, une productivité à ne pas faire tomber et des contraintes économiques. Dans ton cas, c’est facile de pousser le curseur de la sécurité au maximum quitte à réduire drastiquement le confort, car ton public est assez nerdy en général. En entreprise, ton discours ne tiendrait pas, car tu ne fais pas d’analyse des risques, tu affirmes que le 2FA par mail ou par SMS c’est idiot sans mettre dans la balance la valeur des informations protégées.
@bustvhk Blacklisté par PRISMBreak donc tu n’utilises pas. Courage si tu entends te défendre contre la NSA
A noter que l’attaque concernant le protocole SS7 n’est pas réalisable par monsieur/madame tout le monde, il faut beaucoup de prérequis difficile à mettre en oeuvre comme expliqué dans ces deux commentaires:
oui j’ai déjà changé de téléphone et faut reflasher tous les codes ou rentrer toutes les clés. Oui c’est relou.
Après je m’adresse pas aux entreprises mais aux particuliers donc tout va bien. Mais je sais que dans pas mal de grosses boites, les gens utilisent des solutions pro avec clés physiques qui proposent du 2FA.
Et je dis pas que les SMS c’est idiot, je dis juste que c’est mieux d’éviter.
“Bien sûr si vous n’avez mis aucune sécurité de verrouillage à votre smartphone, que votre application 2FA ne vous réclame pas de code PIN ou de mot de passe et qu’en plus, vos mots de passe de sites web sont enregistrés dans votre navigateur, je ne peux rien faire pour vous. Limite, vous méritez de vous faire piller votre compte bancaire.”
Korben, t’as pas honte de dire des trucs comme ça ? Sérieux ? …
Question bête mais pour conserver les QRcodes, comment tu t’y prends?
J’ai testé que Google Authenticator, et on ne m’a pas proposé de “clés” de secours. Je prends en photo classique le QR code et je le sauvegarde chiffré?
Mon smartphone ayant rendu l’âme soudainement, j’ai regardé récemment et je n’ai trouvé aucun moyen de restaurer depuis google les 2 sites pour lesquels j’utilisais google authenticator (j’espérais que google me proposerai l’option en lui donnant les “codes de secours” google que je conserve).
EDIT : Bon après nouvelle essai c’est moi qui ai merdé à l’époque, on me précise bien une clé à noter…
Cisco Meraki
Je pensais avoir bien configurer mon compte (num de téléphone en backup ou autre), et bien non.
N’ayant jamais eu de soucis pour utiliser à nouveau Google Auth après un flash du tel, je ne me suis pas poser de question pour les autres comptes.
Du coup, au moment de vouloir me connecter, j’ai eu la désagréable surprise de ne pas avoir de possibilité de secours ! Rien.
Seule solution possible : un courrier notarié provenant du chef d’établissement pour faire sauter la 2FA.
Je ne l’ai pas encore fait… car ça coûte.
Je ne me souviens pas d’avoir eu à noter une solution de secours, même si c’est bien écrit dans le manuel.
Mailchimp
Ce service incite à l’utilisation la 2FA avec 20% de réduction sur la facture. Top.
Mais là, idem : pas de récupération par SMS même si le numéro est renseigné.
Le support accepte de faire sauter la 2FA en répondant à plusieurs questions liées au compte et à son usage (dernière campagne, nombre d’inscrits, dernière liste créé, etc…).
Idem, je ne me souviens d’avoir eu à noter une solution de replie.
SMS !?
Donc je nuance aussi le coup du SMS même si je suis de ton avis vis-à-vis du hack potentiel. A ce propos, il y avait une étude comparative sur la fiabilité de nos réseaux français non ?
Ayant formaté le téléphone en ayant aussi 2 comptes sur Microsoft Auth, je me demande ce que cela va donner pour récupérer l’accès … Je n’en ai pas encore eu besoin.
Mon téléphone est protégé par empreinte + code à 4 chiffres.
J’ai installé Serrure (Smart Applock) depuis le play store. Ca fonctionne plutôt bien.
Autres éléments de sécurisation !? :
Tous les cookies liés à Google sont supprimés après chaque session, voir session en navigation privée à chaque fois
Je ne laisse jamais ma session ouverte
Mes mots de passes stockés chez Google sont protégés par le mot de passe additionnel. Donc pas de synchro sur un nouveau Chrome possible. Et la consultation en ligne est impossible du fait de ce mot de passe.
J’attends aussi d’avoir le temps pour regarder du côté des clés physiques. Mais là, la perte est encore plus facile que son smartphone je trouve.
Pour finir, sur le compte perso de gmail, je valide la connexion en répondant à la question qui apparaît sur mon smartphone. Plus pratique. Et il faut que je le déverrouille pour y répondre.
intéressant, sachant que les questions de “sécurité” posées par les opérateurs sont ridicules : numéro de contrat, décliner son nom, et … c’est tout.
Il faudrait pouvoir communiquer un mot / phrase de passe à son opérateur, pour le grand public ou les entreprises, même combat. Ou avoir, comme en banque, une clé matériel, pour valider les changements sur le compte avec le tech au téléphone.
Tu les imprimes … Un peu genre : https://blog.haschek.at/post/fe036 , découvert grace à Korben et son article sur les Zip-bombes … (Merki ki ? merci Tonton )
en fait personne ne sais ou ce trouve la doule authentification U2F dans 1password
j’ai commencer a l’utiliser mais j’ai peur de la fausse illusion de sécurité
)