Les banques vont bientôt supprimer l'envoi de SMS pour renforcer l'authentification sur leur site.
C'est une bonne chose car cette méthode est l'objet d'attaques.

Elles vont soit-disant déployer l'authentification forte (ou a double facteur) en application de directive européenne DSP2.

En fait, l'alternative proposée est de pousser les utilisateurs à installer l'application de la banque sur leur smartphone. Ce qui n'améliore pas vraiment la sécurité (quand on utilise l'appli pour faire ses opérations bancaires et qu'on s'authentifie avec, il n'y (…)

J'utilise Bitwarden pour la gestion familiale des mots de passe depuis plusieurs années, et globalement, c'est chouette. Je paye pour l'hébergement via les offres commerciales, mais on peut l'héberger soi-même, ou utiliser Vaultwarden qui est compatible avec le client officiel Bitwarden¹.

Une fonction très pratique est de pouvoir stocker les jetons TOTP pour la double authentification². Quand on y réfléchi un peu, on se trouve rapidement à considérer que c'est un peu faire non plus de (…)

Bon, j'étais passé à côté jusque maintenant : je ne souhaite pas donner mon n° de mobile à github, heureusement ils ont prévu d'autres possibilités.

https://github.blog/news-insights/product-news/raising-the-bar-for-software-security-github-2fa-begins-march-13/

Bon, Hello ça ne va pas le faire, vu que je n'ai ni de windows ni de MacOS à disposition. Il est un peu hors de question pour moi d'utiliser de l'authentification basée sur mes yeux ou mes empreintes digitales : la répudiation ne me plairait pas trop :/

Reste l'utilisation de clé ssh (…)

Bonjour « Nal » (d'où vient cette tradition ?),

Comme chacun de nous, j'ai plus d'une centaine de mots de passe pour divers sites, certains très sensibles, par exemple ceux de mon Webmail, des impôts ou de ma mutuelle, et d'autres dont je ne serais même pas gêné qu'ils soient publics, comme sur tous ces sites insupportables qui exigent de créer un compte pour la moindre petite action, même s'il y a de fortes chances que je n'utilise plus jamais (…)

Fatigué d'utiliser un téléphone pour une application d'authentification secondaire, j'ai voulu investir, il y a un an, dans un périphérique autonome.

J'ai opté pour un Molto-2-v2.

J'ai été vite déçu, car le seul moyen d'ajouter des codes était une application Windows. D'ailleurs, le mot application est quelque peu mensonger, cela ressemble surtout à un assemblage incohérent de composants Visual Basic fait en deux semaines par un stagiaire. Pour une société, j'aurais attendu une application professionnelle, avec un design réfléchi (…)

Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.

Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (…)

Glewlwyd, serveur SSO polyvalent, est maintenant disponible en version 2.0 sur les interwebs!

https://babelouest.github.io/glewlwyd/

Je reprends une partie de l'ancien journal écrit pour la sortie de la RC2, mais celui-ci est bien plus détaillé pour les curieux.

Installer

Paquets pour certaines distributions

Des paquets pour certaines distributions Linux sont disponibles ici: https://github.com/babelouest/glewlwyd/releases/tag/v2.0.0

Image Docker

Une image Docker est disponible ici pour tester rapidement, ou pour utiliser en vrai, juste en modifiant une option: https://hub.docker.com/r/babelouest/

Installation manuelle avec CMake

Sinon le (…)