Le site de la Lufthansa permet de configurer une 2FA avec TOTP. Si pour une raison ou une autre on veut désactiver la 2FA, il est impossible de le faire en ligne sur le site, même en étant connecté à son compte via le TOTP ; il faut le demander par téléphone, à 0,34 €/min.
J'ai raison de penser que c'est du foutage de gueule (tant le fait d'avoir à le faire par téléphone que de devoir payer pour ça) (…)
Les banques vont bientôt supprimer l'envoi de SMS pour renforcer l'authentification sur leur site.
C'est une bonne chose car cette méthode est l'objet d'attaques.
Elles vont soit-disant déployer l'authentification forte (ou a double facteur) en application de directive européenne DSP2.
En fait, l'alternative proposée est de pousser les utilisateurs à installer l'application de la banque sur leur smartphone. Ce qui n'améliore pas vraiment la sécurité (quand on utilise l'appli pour faire ses opérations bancaires et qu'on s'authentifie avec, il n'y (…)
J'utilise Bitwarden pour la gestion familiale des mots de passe depuis plusieurs années, et globalement, c'est chouette. Je paye pour l'hébergement via les offres commerciales, mais on peut l'héberger soi-même, ou utiliser Vaultwarden qui est compatible avec le client officiel Bitwarden1.
Une fonction très pratique est de pouvoir stocker les jetons TOTP pour la double authentification2. Quand on y réfléchi un peu, on se trouve rapidement à considérer que c'est un peu faire non plus de (…)
Bon, j'étais passé à côté jusque maintenant : je ne souhaite pas donner mon n° de mobile à github, heureusement ils ont prévu d'autres possibilités.
Bon, Hello ça ne va pas le faire, vu que je n'ai ni de windows ni de MacOS à disposition. Il est un peu hors de question pour moi d'utiliser de l'authentification basée sur mes yeux ou mes empreintes digitales : la répudiation ne me plairait pas trop :/
Reste l'utilisation de clé ssh (…)
Bonjour « Nal » (d'où vient cette tradition ?),
Comme chacun de nous, j'ai plus d'une centaine de mots de passe pour divers sites, certains très sensibles, par exemple ceux de mon Webmail, des impôts ou de ma mutuelle, et d'autres dont je ne serais même pas gêné qu'ils soient publics, comme sur tous ces sites insupportables qui exigent de créer un compte pour la moindre petite action, même s'il y a de fortes chances que je n'utilise plus jamais (…)
Fatigué d'utiliser un téléphone pour une application d'authentification secondaire, j'ai voulu investir, il y a un an, dans un périphérique autonome.
J'ai opté pour un Molto-2-v2.
J'ai été vite déçu, car le seul moyen d'ajouter des codes était une application Windows. D'ailleurs, le mot application est quelque peu mensonger, cela ressemble surtout à un assemblage incohérent de composants Visual Basic fait en deux semaines par un stagiaire. Pour une société, j'aurais attendu une application professionnelle, avec un design réfléchi (…)
Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique.
Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.
Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.
Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (…)
Bonjour,
Je cherche à sécuriser un site web avec TOTP.
Je proposerai aux utilisateurs d’installer Aegis sur leur téléphone.
La génération des clés et du qrcode, à la limite je peux gérer ça en ligne de commande si nécessaire. Je n’ai pas l’ambition de proposer une interface web "complète".
PS: Une piste, 2FA QR Code Generator → code, sérieuse et libre ?
Par contre, en PHP, je dois pouvoir vérifier le TOTP…
Mon site web est en PHP (…)
PyPI (de l’anglais « Python Package Index ») est le dépôt tiers officiel du langage de programmation Python. Son objectif est de doter la communauté des développeurs Python d’un catalogue complet recensant tous les paquets Python libres.
Google, par l’intermédiaire de l’Open Source Security Foundation (OpenSSF) de la Linux Foundation, s’est attaqué à la menace des paquets malveillants et des attaques de la chaîne d’approvisionnement des logiciels open source. Elle a trouvé plus de 200 paquets JavaScript et Python malveillants en un mois, ce qui pourrait avoir des « conséquences graves » pour les développeurs et les organisations pour lesquelles ils écrivent du code lorsqu’ils les installent.
PyPI déploie le système 2FA (pour double authentification ou authentification à deux facteurs) pour les projets critiques écrits en Python.
Glewlwyd, serveur SSO polyvalent, est maintenant disponible en version 2.0 sur les interwebs!
https://babelouest.github.io/glewlwyd/
Je reprends une partie de l'ancien journal écrit pour la sortie de la RC2, mais celui-ci est bien plus détaillé pour les curieux.
Des paquets pour certaines distributions Linux sont disponibles ici: https://github.com/babelouest/glewlwyd/releases/tag/v2.0.0
Une image Docker est disponible ici pour tester rapidement, ou pour utiliser en vrai, juste en modifiant une option: https://hub.docker.com/r/babelouest/
Sinon le (…)