Bonjour « Nal » (d'où vient cette tradition ?),
Comme chacun de nous, j'ai plus d'une centaine de mots de passe pour divers sites, certains très sensibles, par exemple ceux de mon Webmail, des impôts ou de ma mutuelle, et d'autres dont je ne serais même pas gêné qu'ils soient publics, comme sur tous ces sites insupportables qui exigent de créer un compte pour la moindre petite action, même s'il y a de fortes chances que je n'utilise plus jamais (…)
PyPI (de l’anglais « Python Package Index ») est le dépôt tiers officiel du langage de programmation Python. Son objectif est de doter la communauté des développeurs Python d’un catalogue complet recensant tous les paquets Python libres.
Google, par l’intermédiaire de l’Open Source Security Foundation (OpenSSF) de la Linux Foundation, s’est attaqué à la menace des paquets malveillants et des attaques de la chaîne d’approvisionnement des logiciels open source. Elle a trouvé plus de 200 paquets JavaScript et Python malveillants en un mois, ce qui pourrait avoir des « conséquences graves » pour les développeurs et les organisations pour lesquelles ils écrivent du code lorsqu’ils les installent.
PyPI déploie le système 2FA (pour double authentification ou authentification à deux facteurs) pour les projets critiques écrits en Python.
Fatigué d'utiliser un téléphone pour une application d'authentification secondaire, j'ai voulu investir, il y a un an, dans un périphérique autonome.
J'ai opté pour un Molto-2-v2.
J'ai été vite déçu, car le seul moyen d'ajouter des codes était une application Windows. D'ailleurs, le mot application est quelque peu mensonger, cela ressemble surtout à un assemblage incohérent de composants Visual Basic fait en deux semaines par un stagiaire. Pour une société, j'aurais attendu une application professionnelle, avec un design réfléchi (…)
Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique.
Dans cette nouvelle version 4.4.0, les utilisateurs peuvent maintenant gérer leurs TOTP directement depuis l’extension navigateur, offrant ainsi une facilité d'accès et de gestion sur tous les appareils.
Glewlwyd, serveur SSO polyvalent, est maintenant disponible en version 2.0 sur les interwebs!
https://babelouest.github.io/glewlwyd/
Je reprends une partie de l'ancien journal écrit pour la sortie de la RC2, mais celui-ci est bien plus détaillé pour les curieux.
Des paquets pour certaines distributions Linux sont disponibles ici: https://github.com/babelouest/glewlwyd/releases/tag/v2.0.0
Une image Docker est disponible ici pour tester rapidement, ou pour utiliser en vrai, juste en modifiant une option: https://hub.docker.com/r/babelouest/
Sinon le (…)
Comme vu récemment, les banques sont dans l'obligation d'implémenter une authentification à deux facteurs pour certains trucs. Je n'ai pas très bien compris pour quels trucs, mais bref, ça s'applique visiblement pour certains achats en ligne et pour certains opérations particulières comme par exemple l'ajout de bénéficiaires de virement. Je crois que ça dépend des banques.
Pour rappel, l'authentification à deux facteurs consiste à demander à l'usager deux types de preuves de son identité, parmi trois types : une connaissance (…)
Bonjour,
Je cherche à sécuriser un site web avec TOTP.
Je proposerai aux utilisateurs d’installer Aegis sur leur téléphone.
La génération des clés et du qrcode, à la limite je peux gérer ça en ligne de commande si nécessaire. Je n’ai pas l’ambition de proposer une interface web "complète".
PS: Une piste, 2FA QR Code Generator → code, sérieuse et libre ?
Par contre, en PHP, je dois pouvoir vérifier le TOTP…
Mon site web est en PHP (…)