Chargement en cours...
Wait
Veuillez patienter
L'opération demandée semble prendre trop de temps.
Attendre 30 secondes de plus   Recharger la page
wait
Connexion
X
Email OU nom d'utilisateur :
Mot de passe :
Se connecter via Google
Créer un compte
Mot de passe oublié ?
Mail d'activation
Langue :
Nouveau sujet
   Retour liste des sujets Retour liste des sujets   Bas de page Bas de page
Sujet n°52560 créé le 26/04/2020 à 04:24 par Baje - Vu 3186 fois par 829 utilisateurs
   
Pages : 12
Sondage: Le 2FA physique ?
J'ai testé, j'ai pas aimé (2 votes)
11.11%
Je ne savais même pas que ça existait, voyons ça (8 votes)
44.44%
Ah ça existe ? Rien à faire. (2 votes)
11.11%
Je connais, jamais je testerais. (4 votes)
22.22%
J'adore ! (2 votes)
11.11%
Total Votes: 18
Message n° 4301286, posté à 04:24 le 26/04/2020  
Note
Avatar
Baje
En confinement et n'ayant pas assez de temps, je passe quand même certaines nuits à faire des trucs de "geek". Ou pour traduire, des choses que tout le monde devrait faire.
Après avoir découvert que la double authentification (i.e mot de passe + autre moyen) était assez vulnérable par SMS.
Et parce que que cela me fait royalement chier les applications 2FA quand il faut déverrouiller le smartphone à chaque fois, je me suis penché sur le 2FA physique et je viens d'acheter deux clés Yubico.
Ayant perdu un téléphone avec 2FA, j'ai expérimenté la galère de retrouver l'accès à tous les sites configurés. (Oui, oui le backup, je sais...).
Je l'ai à moitié fait pour le côté test et kiff et à moitié pour en finir avec tout ce que je viens de citer. Je mets donc ça dans mon blog personnel et qui a un intérêt pour le suivre pourra. Je mettrais à jour le billet lors de mes différents tests (qui pourront s'arrêter très vite si c'est de la merde).
Je me dit qu'appuyer sur un bouton sur des devices physiques sera moins chiant et plus secure que toute autre méthode.
Et puis je mets aussi ça là car ça encouragera peut-être des gens qui ne savent même pas ce qu'est la double authentification à s'y intéresser peut-être enfin. Le futur est je pense au password-less car le password, c'est de la daube geek
Le but du projet :
- Tout passer en 2FA dès que possible
- Remplacer les 2FA SMS et ou OTP sans clé dès que possible. (OTP = l'appli sur le smartphone, en gros).
- Me faciliter la vie
- Ne plus me retrouver bloqué comme un con comme ça m'est arrivé.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
Historique des éditions
Message n° 4301287, posté à 04:24 le 26/04/2020  
Note
Avatar
Baje
Avant de démarrer :
Quel service permet quoi ?
Le meilleur site que j'ai trouvé : https://twofactorauth.org/
Rappel des objectifs :
Passer par mes deux clés sans autre moyen ou OTP ou au pire 2FA/SMS de secours sur numéro de téléphone inutilisé et donc que personne ne connaît.
Une fois la clé reçu ?
A la réception, un lien apparaît partout sur le bundle des deux clés. On va donc dessus et on choisi le service à utiliser (on peut aussi vérifier au préalable les méthodes d'authentification sur le lien au dessus). Il manque des informations comme par exemple l'utilisation possible des multi clés ou pas. Et les navigateurs compatibles ne sont pas non plus à jour.
Une vidéo est présente selon les services et quelques détails :
 [x]
La clé est reconnu
Direct sur windows 10, rien à faire.
Premier test
Je vais donc prendre un service relativement permissif sur les méthodes d'authentification et de backup, google.
Une fois connecté sur le compte (pas testé depuis gmail ou autre mais directement sur "myaccount". On va dans sécurité puis :
 [x]
Google demande à remettre une nouvelle fois le mdp pour pouvoir faire la configuration. Il faut quand même aller chercher l'option mais rien de méchant.
 [x]
Si comme moi vous avez connecté la clé, il faut la déco avant de continuer.
Google va ensuite vous demander de l'insérer, on voit que Windows fait aussi une vérification de sécurité et Chrome indique que Google veut accèder au modèle de la clé. Une fois ceci fait, la clé est enregistré. Vous pouvez lui donner un nom.
 [x]
Une fois ceci fait, la config est terminée :
 [x]
L'appui physique sur la clé est hyper léger et malgré la connexion un peu bizarre sur mon PC, aucun besoin de forcer dessus.
On peut ignorer le 2FA pour les appareils "fiables" (tips : ça n'existe pas), peu importe le moyen. Je ne vais pas le faire ou autant ne rien faire. Premier truc à faire si vous passez par le 2FA physique, révocer tous vos appareils fiables.
 [x]
Pour la connexion, c'est très rapide, windows nous indique encore une fois que quelqu'un veut utiliser une clé, on la touche et hop, connecté (après le mdp).
Pour ajouter une deuxième clé, il faut se connecter avec mdp + clé et ensuite se réauthentifier avec mdp + clé. Un peu fastidieux mais rien de méchant et au final, logique. Si vous ne mettez pas la bonne clé, on vous indique que la clé n'est pas connu (peut-être car non utilisé par windows pour autre chose, à voir).
On a ensuite les deux clés de configurées.
 [x]
Test de connexion depuis Firefox, Chrome, Edge Chromium (Beta Edge), Edge Ok.
Seul IE ne le permets pas et le message est clair.
 [x]
On peut switcher de clés dans n'importe quel ordre, google s'en fiche.
C'est tout pour l'instant. Updates à suivre.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
*édité à 02:30 le 12/05/2020
Message n° 4301288, posté à 04:24 le 26/04/2020  
Note
Avatar
Baje
Méthodes d'authentification
En cours de modif
Si vous cherchez sur le net, certains vous diront qu'utiliser deux clés, c'est de la connerie. Mon avis c'est que c'est pratique et pas moins sécurisé. Mais je ne suis pas un expert sécurité et si vous avez une source qui dit le contraire, je changerais d'avis avec de bons arguments ;)
Chacun fait comme il veut et je ne fais que partager un retour d'expérience.
U2F
Clairement le plus pratique, si le site le propose. On vous parlera de "clé de sécurité" par exemple, comme chez Google. Vous "appairez" alors votre/vos clés au site internet et pour vous connecter, en plus du mot de passe, vous vous authentifiez avec celle-ci. Vos informations sont enregistrées dans la clé. Pas besoin d'application de 2FA en plus. Le plus simple, le mieux, le plus secure selon moi.
En troisième backup, si vous avez déjà deux clés, je partirais sur des codes à imprimer et à vérifier tous les ans pour voir si ils s'effacent pas. Aucune trace informatique, non piratable (à ne pas garder sur le PC shy)
Authenticator App
Si le site ne propose que ça, c'est nul mais c'est faisable ! Ca n'est pas indiqué quand vous allez sur le "get started" de Yubico mais ils ont une application "Yubico Authenticator". Cela fonctionne comme une application "d'authenticator" sur mobile. Sauf que rien n'est conservé ni sur le mobile, ni sur votre PC. Toutes les clés sont sur le hardware. Vous retirez la clé, il n'y a plus de trace.
Pour faire l'enregistrement, il faut afficher le QR code du site en question à l'écran puis cliquer sur le "+" dans l'application. Yubico authenticator détecte le QR Code et vous permet l'enregistrement.
L'astuce ici pour enregistrer ça sur deux clés, c'est, selon mes tests, de c/c le QR code indiqué lors de l'authentification de la première clé. Vous finissez ensuite tranquillement le process.
Vous enlevez la première clé, vous mettez la deuxième et depuis la même application, vous ajoutez à nouveau votre code avec le QR code à l'écran (vous l'ouvrez dans paint ou dans n'importe quel logiciel). Bien sûr, ne jamais enregistrer cette capture d'écran et ne pas activer l'historique de presse papier sous windows. Histoire de, copier autre chose sitôt l'enregistrement terminé.
J'ai tenté d'enregistrer la seconde clé durant le process, ça semble marcher mais ça foire lamentablement quand on veut se connecter. Et la méthode qui marche n'est pas plus embêttante.
Sur mobile, il faut aussi télécharger l'application de Yubico. Lorsque vous approchez votre clé compatible NFC, l'application Yubico s'ouvre et vous pouvez copier le code à entrer sur votre site/application/etc pour vous connecter. L'accès n'est bon que pour un code et si vous voulez avoir un nouveau code car il a expiré par exemple, il faut remettre un "coup de clé" sur le téléphone. Ca ajoute quelques secondes à la connexion, mais ça fonctionne.
L'avantage, en plus de la sécurité, c'est de ne pas avoir à dévérouiller ce **** de téléphone pour vous connecter à vos sites. Il suffit de switcher sur l'application windows/linux/mac pour se connecter.
 [x]
L'application Yubico Authenticator, sur Windows 10
Il est aussi possible d'ajouter un mot de passe pour accèder à votre clé. Vous pouvez enfin nommer votre site "XFKfgiekfkei" au lieu du vrai nom, par parano. A vous de vous y retrouver. Les chances qu'un attaquant ait accès à votre nom de compte, votre mot de passe et votre clé ou vos codes imprimés est quand même relativement faible ;)
Alors si il lui faut aussi le mdp de votre clé yubiko et le déchiffrement de vos petits noms perso, on est plutôt pas mal, je pense.
Pensez, selon les sites et si ils ne désactivent pas automatiquement ces méthodes, à supprimer l'envoi de SMS ou autres types de méthode d'authentification disponible (le code par mail étant sans doute le pire).
Au final, le problème de cette solution, c'est de dépendre de l'offre software de yubico et d'espérer que vous n'ayez pas de problème avec.
Sur windows 10 + android pas trop vieux, cela a l'air de fonctionner parfaitement.
SMS
On oublie, c'est piratable de pleins de façons.
FIDO2
Je ne suis pas prêt à passer au passwordless et tellement peu de site le propose que j'ai décidé de ne pas l'utiliser. Même principe que l'U2F mais on oublie la partie password. Je testerais sur un faux compte histoire de voir.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
*édité à 02:27 le 12/05/2020
Message n° 4301289, posté à 04:33 le 26/04/2020  
Note
Avatar
Baje
Remarque sur le 2FA par site
Amazon.fr
Backup par sms uniquement... Obligé de prendre un numéro que l'on utilise pas ou ça ne sert pas à grand chose au final.
Etsy
Le site garde l'auth par code enregistré dans le cookie du site ou autre. Du coup, plus besoin de l'application une fois la première connexion jusqu'à ce qu'on vide les cookies :/
Ubisoft
Ya un peu rien qui va. Le backup se fait par sms... mais aussi par codes... qui sont affichés mais aussi... envoyé par mail. cry
Je trouve pas l'intêret de mettre un backup SMS si c'est pour la sécurité mais alors les codes envoyés par mail... Bref. Faut penser à bien les virer directement.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
*édité à 23:52 le 12/05/2020
Message n° 4301290, posté à 04:33 le 26/04/2020  
Note
Avatar
Baje
Réservé

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
Message n° 4301295, posté à 06:55 le 26/04/2020  
Note
Avatar
Sixe
J'ai un jeu de clés Titan mais je ne peux pas l'utiliser pleinement car ça ne passe pas via "Chrome Remote Desktop" et c'est principalement ainsi que j'utilise mon PC de travail via un chromebook.
Du coup, j'utilise aussi une appli mobile et je conserve des backup codes.

--
Co-fondateur et administrateur de Subfactory.fr
Message n° 4301297, posté à 07:03 le 26/04/2020  
Note
Avatar
koni
J'attends la suite. Histoire de voir si je m'y mets aussi. Tu nous diras le différence entre U2F, 5 NFC...?

*édité à 07:09 le 26/04/2020
Message n° 4301304, posté à 10:24 le 26/04/2020  
Note
Avatar

Je l'utilise sur Paypal, Twitter et sur mes Tracker P2P. Parfait, via android l'app Google Authenticator (qui change le code tous les 10 sec). Première fois que j'ai l’impression d'être en sécurité, j'aimerai que ça soit dispo pour tous les sites.
Par-contre, j'avais pas pensé au fait de perdre le smartphone. think

*édité à 10:26 le 26/04/2020
Message n° 4301309, posté à 12:59 le 26/04/2020  
Note
Avatar
Baje
koni a dit
le 26/04/2020 à 07:03
:

J'attends la suite. Histoire de voir si je m'y mets aussi. Tu nous diras le différence entre U2F, 5 NFC...?
Yes, je vais tester tout ça. Loin d'être un expert. Un mec a remis en cause mes certitude de mec qui y connait rien mais croyait savoir. Donc je vais voir ça.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
Message n° 4301310, posté à 14:17 le 26/04/2020  
Note
Avatar
koni
Y'a un peu de tout, en fait, des choses assez chères, d'autres moins mais qui d'après certains sites ne sont pas ridicules pour autant. En gros de 10 à 75 euros.
Message n° 4301313, posté à 15:11 le 26/04/2020  
Note
Avatar
Baje
koni a dit
le 26/04/2020 à 14:17
:

Y'a un peu de tout, en fait, des choses assez chères, d'autres moins mais qui d'après certains sites ne sont pas ridicules pour autant. En gros de 10 à 75 euros.
Ah tu parlais des clés en elle même. J'ai pris des yubiko 5 nfc là.
J'en ai eu pour 110e fdp inclus les 2. Ça gère tous les protocoles existant à priori sauf ceux réservés aux pro. C'est waterproof et j'ai privilégié l'USB-A.
Et nfc car je veux pouvoir gérer l'OTP depuis mon téléphone hors de chez moi mais toujours avec la sécurité de la clé en plus.
Je sais pas si ce que j'ai en tête est possible, je verrais lors des tests.
Et pour la comparaison, celui directement accessible sur le site du fabricant est bien fait. smile
A noter qu'ils y a plusieurs fabricants, je suis parti chez le plus connu vu la nouveauté de la chose. Pour la fabrication, le support si besoin, l'offre software etc.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
*édité à 15:20 le 26/04/2020
Message n° 4301321, posté à 18:44 le 26/04/2020  
Note
Avatar
lixeix
☺ a dit
le 26/04/2020 à 10:24
:

Je l'utilise sur Paypal, Twitter et sur mes Tracker P2P. Parfait, via android l'app Google Authenticator (qui change le code tous les 10 sec). Première fois que j'ai l’impression d'être en sécurité, j'aimerai que ça soit dispo pour tous les sites.
Après une frayeur avec mon téléphone qui plantait régulièrement à une époque. J'avais réfléchi à une clef, mais je ne me fais pas assez conscience pour ne pas la perdre ou l'oublier - en tout cas je suis curieuse d'un retour d'utilisation !
J'imagine que ça se fait chez d'autres fournisseurs, mais j'utilise BitWarden depuis près d'un an et demi.
C'est un logiciel d'enregistrement (et de création) de mots de passe.
Le mot de passe est la clef de cryptage de tous les autres mdp enregistrés dedans (on peut aussi y ajouter les cartes bleues, "des identités" et 1 Go (gratuit) de pièces jointes).
Pour 10$ par an, ils proposent un outil de double authentification, sur le même principe que Google Authenticator sauf que c'est disponible depuis l'app téléphonique, le logiciel Windows ou Mac, le add-on Chrome, Firefox, Opera, Safari, et la version web - ce qui ne limite pas l'accès à la vie de mon téléphone.
Pour les sites qui l'acceptent, j'ai mis ça en place partout ; pour les autres j'ai au moins des mots de passe pas simple à trouver.
Si ça peut servir à certains ;).
Baje a dit
le 26/04/2020 à 04:24
:

Et puis je mets aussi ça là car ça encouragera peut-être des gens qui ne savent même pas ce qu'est la double authentification à s'y intéresser peut-être enfin. Le futur est je pense au password-less car le password, c'est de la daube geek
clap
En tout cas le logiciel type BitWarden ou LastPass, c'est une première étape vers des mdp complexes sans prises de tête.

--
lixeix
Message n° 4301322, posté à 19:11 le 26/04/2020  
Note
Avatar
Pliskin
☺ a dit
le 26/04/2020 à 10:24
:

Je l'utilise sur Paypal, Twitter et sur mes Tracker P2P. Parfait, via android l'app Google Authenticator (qui change le code tous les 10 sec). Première fois que j'ai l’impression d'être en sécurité, j'aimerai que ça soit dispo pour tous les sites.
Mais c'est pas juste la 2FA classique, ça ?
Ou j'ai rien compris ?

--
Let go your earthly tether. Enter the Void. Empty and become wind.
Message n° 4301323, posté à 19:33 le 26/04/2020  
Note
Avatar
Akghar
Je suis pas encore passé à la 2FA physique. Et si tu la perds ?
En ce moment, j'utilise Keepass. Fichier stocké sur une clé USB double sortie USB A / USB C (pour le tél).
Pour minimiser le risque de hack généralisé, serveur mail avec une adresse / alias par compte, et mdp sécurisé unique. Avec 2FA logicielle si possible.
Je suis pas encore prêt à passer à de la 2FA passwordless, encore moins physique.

--
I made a huge mistake
Message n° 4301326, posté à 19:54 le 26/04/2020  
Note
Avatar
Baje
Akghar a dit
le 26/04/2020 à 19:33
:

Je suis pas encore passé à la 2FA physique. Et si tu la perds ?
Backup de connexion. Comme avec n'importe quelle méthode de 2FA.
Je vais mettre ça avec mes clés, je me fais un peu confiance pour pas les perdre, ça fait 25 ans que j'y arrive. dumb2
Akghar a dit
le 26/04/2020 à 19:33
:

En ce moment, j'utilise Keepass. Fichier stocké sur une clé USB double sortie USB A / USB C (pour le tél).
Pour minimiser le risque de hack généralisé, serveur mail avec une adresse / alias par compte, et mdp sécurisé unique. Avec 2FA logicielle si possible.
Et si tu perds ta clé usb ?
J'ai pas compris ton histoire de mail, t'as un compte mail pour chaque compte sur un site ? horreur

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
Message n° 4301350, posté à 07:02 le 27/04/2020  
Note
Avatar
Akghar
Baje a dit
le 26/04/2020 à 19:54
:

Et si tu perds ta clé usb ?
Yep, pas faux. Je backup le ficher de temps en temps.
Baje a dit
le 26/04/2020 à 19:54
:

J'ai pas compris ton histoire de mail, t'as un compte mail pour chaque compte sur un site ? horreur
En fait c'est le même compte. Mais un alias différent par site oui. Ça prend 30 secondes de créer un alias.
Deux raisons, de un, si hack, tester le mail qui aura fuité sur d'autres sites ne donnera rien.
Et deux, si le site en question se met à vendre le mail pour des spams, suffit de supprimer l'alias.

--
I made a huge mistake
*édité à 07:39 le 27/04/2020
Message n° 4301351, posté à 08:27 le 27/04/2020  
Note
Avatar
Sixe
Keepass pour moi aussi avec fichier clé en plus du mot de passe.
La base de donnée de Keepass est conservée dans mon Google Drive avec copie locale et sauvegarde sur disques externes.
Le fichier clé, la copie locale, les sauvegardes et le dossier "data\profile" de Google Chrome sont dans des partitions cryptées Truecrypt protégées par mot de passe très fort.
Mon compte Google est crypté par une passphrase et double authentification avec clé Titan ou Google Authenticator ou backup codes.
Tous mes appareils mobiles sont configurés via "Google Find My Device" permettant le verrouillage ou l'effacement complet à distance.
Akghar a dit
le 27/04/2020 à 07:02
:

En fait c'est le même compte. Mais un alias différent par site oui. Ça prend 30 secondes de créer un alias.
C'est pas mal, ça. Vais y réfléchir.

--
Co-fondateur et administrateur de Subfactory.fr
Message n° 4301352, posté à 09:08 le 27/04/2020  
Note
Avatar
Baje
Sixe a dit
le 27/04/2020 à 08:27
:

Keepass pour moi aussi avec fichier clé en plus du mot de passe.
La base de donnée de Keepass est conservée dans mon Google Drive avec copie locale et sauvegarde sur disques externes.
C'est piratable un keypass ? Jamais eu envie de me faire chier avec un fichier clé.
Je copie partout mon keypass comme un nase.
Aussi pour ça que je veux rajouter de la sêcurité pour mes comptes essentiels. laugh2

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
Message n° 4301387, posté à 22:30 le 27/04/2020  
Note
Avatar
liloboot
Baje a dit
le 27/04/2020 à 09:08
:

C'est piratable un keypass ? Jamais eu envie de me faire chier avec un fichier clé.
Si utilises un mot de passe fort (long), pas de problème. Pour plus de sécurité, il faut en plus changer l'option "Iterations" dans "Database Settings". Par défaut c'est 6000 (très peu). Clique sur "1 second delay" pour mettre à jour automatiquement le champ à une valeur adéquate. Ça veut dire que tester un mot de passe va prendre de l'ordre de 1 seconde, ce qui rend impraticables les attaques par brute force.
 [x]
Ensuite le seul problème avec Keepass, c'est qu'il faut toujours forcer la demande du mot de passe maître à chaque accès. Si tu mets un délai de « me fais pas chier » pour plus de commodités, tu prends le risque de te faire piquer ton appareil entre temps et que le mec ait le temps d'accéder à la db en clair.
Mais c'est chiant si t'as un mot de passe long. Note que, théoriquement, tu peux te contenter d'un mot de passe « court » (disons 10 caractères) si la valeur de "iterations" est suffisamment grande pour endiguer toute attaque. Mais bon, faut avoir les couilles quand même.

--
Rock 'n' roll.
*édité à 22:44 le 27/04/2020
Message n° 4302161, posté à 21:25 le 11/05/2020  
Note
Avatar
Baje
Update avec un premier test sur un cas facile :
Je vais attendre de voir que ça ne foire pas avant de passer ça un peu partout, de tester des sites moins sympa que google avec le 2FA physique et faire le test depuis le téléphone.
Edit : Test fait depuis le téléphone, il n'y a rien à faire, cela fonctionne directement (NFC). Mais flemme de faire les captures et de vérifier la page web qui s'ouvre à chaque fois sur yubico. Je regarderais ça un autre jour.

--
Si être normal est d'usage, cela revient à abandonner toute chance de progrès. Qui veut être normal ?
*édité à 21:31 le 11/05/2020
Pages : 12
Liste des sujets \ La double authentification physique. Galère ou bonne idée ?

L'envoi de messages anonymes est désactivé. Veuillez vous connecter pour poster un message : Connexion
.