Fatigué d'utiliser un téléphone pour une application d'authentification secondaire, j'ai voulu investir, il y a un an, dans un périphérique autonome.
J'ai opté pour un Molto-2-v2.
J'ai été vite déçu, car le seul moyen d'ajouter des codes était une application Windows. D'ailleurs, le mot application est quelque peu mensonger, cela ressemble surtout à un assemblage incohérent de composants Visual Basic fait en deux semaines par un stagiaire. Pour une société, j'aurais attendu une application professionnelle, avec un design réfléchi et implémenté proprement.
Il existe une procédure pour installer un script Python, mais c'est le problème habituel : cela a dû fonctionner à un moment, sous Ubuntu, avec les versions des librairies qui vont bien, mais avec ma version Debian Bookworm, que dalle, nada, etc.
Second point, complètement incompréhensible, chaque code a sa propre horloge, qu'il faut régulièrement corriger avec l'application sous Windows. Oui, l'horloge interne se dérègle, ce qui rend l'appareil inutilisable, sauf si vous avez un portable Windows sous la main.
Oui, on ne peut régler l'horloge directement, et elle n'est d'ailleurs pas affichée. Curieusement, seulement certains se dérèglent.
Le script Python n'est téléchargeable que si vous acceptez une license "fair license", qui n'a de "fair" que le nom. Interdiction de publier des modifications, etc.
Après un an d'utilisation, laborieuse, vous l'aurez compris, je déconseille l'achat de ce périphérique. Je reviens au tel et Yubikey pour le moment, même si je lorgne du côté de "ReinerSCT".
Et vous, qu'utilisez-vous ?
# Réponse à côté (mais pas trop)
Posté par gUI (Mastodon) . Évalué à 10.
Dans le Hackable numéro 50 il y a un article pour se faire son propre TOTP. Celui qu'il fait n'est pas portable, mais t'as tout le concept de base.
Si tu t'y lances tiens-nous au courant !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Réponse à côté (mais pas trop)
Posté par Andre Rodier (site web personnel) . Évalué à 7.
Si j'avais le temps, mais bon…
Dans les pistes sympas, il y a aussi la fausse montre Casio: https://www.sensorwatch.net/docs/
Avec le code source qui va bien : https://github.com/joeycastillo/Sensor-Watch
Et la fonction TOTP pour les hackers : https://blog.singleton.io/posts/2022-10-17-otp-on-wrist/
# keepassxc
Posté par Ecran Plat (site web personnel, Mastodon) . Évalué à 10.
j'utilise un keepass pour mettre une copie de mes totp
tu fais CTR+T dessus et CTR+V sur le site.
Autrement sur mon smartphone j'utilise FreeOTP+ qu'on trouve sur f-droid
[^] # Re: keepassxc
Posté par Andre Rodier (site web personnel) . Évalué à 7.
J'ai effectivement testé FreeOTP+, mais je m'étais finalement orienté sur Aegis.
Il y avait une option de sécurité très bien pensée dans ce dernier : Le fait de pouvoir masquer les codes par défaut, il faut "taper" sur un code pour qu'il soit affiché pendant quelques secondes. Cela permet de minimiser les risques d'une potentielle capture d'écran par un logiciel espion.
Je vois que cela a maintenant été inclus dans FreeOTP+.
Il semble que la dernière version de FreeOTP+ date un peu.
Mais bon, cela reste sur Android, une plateforme pas aussi sécurisée qu'un périphérique non connecté sur internet.
[^] # Re: keepassxc
Posté par zurvan . Évalué à 5.
Y'a un truc qui fonctionne pas mal sur les appareils android, c'est le mode avion, ça permet de ne jamais être connecté à internet si nécessaire, et ça sera plus pratique qu'un appareil moisi qui n'a même pas la bonne idée pour 43€ d'embarquer un scanner qrcode ce qui aurait aussi évité de passer en usb par une appli dédiée windows.
De plus avec freeotp+, un système Android libre (lineageos), pas d'appli gafam et de la conteneurisation (shelter), je ne me sens pas trop vulnérable, même en allant sur le web avec.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: keepassxc
Posté par alkino . Évalué à 8.
Pour ma part KeepassXC sur PC et KeepassDX sur téléphone. Plus de souci !
[^] # Re: keepassxc
Posté par woffer 🐧 . Évalué à 1.
Et avec le combo KeepPassXC-Browser pour Firefox, c'est est encore plus puissant.
# Le bon token et le mauvais token
Posté par Xanatos . Évalué à 4.
J'avais commencé bascule sur la double authentification, mais pas avec yubikey mais token2, une paire de clés FIDO2/U2F simples et surtout 1 clé redondante pour le même tarif que yubikey.
J'ai été surpris par les différentes politiques des services en ligne, certes ils proposent (fortement) du MFA mais de leur point de vue.
Pour n'en citer que 2 gros:
- github: l'application mobile est maître sans elle pas d'autre MFA possible tant que l'appli n'est pas liée
- infomaniak: du TOTP, de l'appli, du yubikey et c'est tout
Un beau bazar de plus qui se profile.
[^] # Re: Le bon token et le mauvais token
Posté par cg . Évalué à 8.
Ça fait plusieurs fois que je lis ça, et pourtant sans avoir l'appli Github, j'ai bien les MFA avec Yubikey ou TOTP d'actifs (et avant ça j'avais les SMS). C'est un changement récent ?
[^] # Re: Le bon token et le mauvais token
Posté par Piotr . Évalué à 6.
C'est Github qui pousse à l'utilisation de son app. :)
En réalité, tout matériel qui supporte le TOTP selon la RFC 6238 fait l'affaire :
Forum github community
[^] # Re: Le bon token et le mauvais token
Posté par Xanatos . Évalué à 2.
Oh merci !
Effectivement avec KeepassXC la génération du TOTP coule de source, par la suite j'ai pu ajouter ma clé token2
[^] # Re: Le bon token et le mauvais token
Posté par steph1978 . Évalué à 3.
Idem, c'est juste bien caché. On en parlait ici.
# Bitwarden + Yubikey
Posté par cg . Évalué à 4.
N'ayant pas de smartphone, j'utilise Bitwarden pour stocker les TOTP. Ma femme aussi et ça la suit sur son smartphone. Quand le service le permet, je met aussi ma Yubikey1.
Pour déverrouiller mon coffre Bitwarden, il faut la Yubikey, ce n'est pas toujours très pratique, dans le cas d'un ordi avec seulement de l'USB-C ou quand tu es en bureau à distance.
J'avais lorgné sur le Mooltipass mais c'est encombrant, et finalement un bon gestionnaire de mot de passe fonctionne dans quasiment tout le temps.
la bleue pas chère qui fait seulement FIDO2/U2F/Webauthn. Avec le recul j'aurai pris une plus chère qui peut stocker aussi les certificats, mais j'avais pas bien saisi l'intérêt quand je l'ai achetée. ↩
[^] # Re: Bitwarden + Yubikey
Posté par Ysabeau 🧶 🧦 (site web personnel, Mastodon) . Évalué à 4.
Elles sont toutes noires sur le site de Yubikey, c'est celle à 25 € hors taxe ?
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Bitwarden + Yubikey
Posté par cg . Évalué à 2.
Ah oui tiens, maintenant elle est noire, et a du NFC en plus (pratique pour les smartphones).
La mienne n'a pas le NFC, elle doit avoir 6-7 ans.
# un extension firefox
Posté par devnewton 🍺 (site web personnel) . Évalué à 2.
https://addons.mozilla.org/fr/firefox/addon/two-factor-authenticator/
Si j'avais un peu de temps je ferais un script grease monkey avec une lib totp pour saisir les codes automatiquement 😜.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: un extension firefox
Posté par Andre Rodier (site web personnel) . Évalué à 6.
Super idée, supprimer complètement le concept d'authentification à deux facteurs, et utiliser le même périphérique pour stocker la clé utilisée pour le deuxième facteur.
Merci d'avoir joué…
[^] # Re: un extension firefox
Posté par cg . Évalué à 10.
C'est moins bête que ça en a l'air : ça devient plus comme un mot de passe qui change à chaque fois, plutôt qu'un vrai MFA. Si le mot de passe est intercepté, et le code TOTP aussi, ça ne permet pas pour autant de se reconnecter plus tard sur le service. C'est juste super naze en cas de compromission de l'ordi, ce qui n'est pas le cas le plus courant.
Mais c'est comme dire que les SMS pour la MFA c'est inutile : en soi c'est attaquable avec du SIM-swapping, mais la majorité du temps, ça fonctionne bien et élève tout de même le niveau de sécurité de plusieurs ordres de magnitude, par-rapport au mot de passe seul.
Gros poncif du dimanche; C'est une question d'équilibre entre sécurité et aspect pratique :).
[^] # Re: un extension firefox
Posté par devnewton 🍺 (site web personnel) . Évalué à 7.
Il y a toujours plusieurs facteurs : ton mot de passe pour déverrouiller ton PC et deux que tu possèdes (le mot de passe de l'appli et la clef otp sur ton PC).
Bien sûr le disque est chiffré pour ne pas permettre de trouver les facteurs que tu possèdes en cas de vol.
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: un extension firefox
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4. Dernière modification le 03 décembre 2023 à 18:38.
Tiens, on en parlait il y a quelques semaines sur zds.
Ça s’appliquerait à KeepassXC aussi mais bon tout est question de compromis comme déjà dit (et d’évaluation du risque), et s’il est difficile d’accéder au périphérique unique ma foi…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# horloge interne se dérègle
Posté par steph1978 . Évalué à 7. Dernière modification le 03 décembre 2023 à 14:28.
C'est le cas de toute horloge (non connectée au réseau).
J'ai une Pebble que j'adore mais je ne m'en sers pas en mode connecté car je ne veux pas être enquiquiné par les notifications.
Je dois néanmoins la connecter régulièrement pour qu'elle se recale. Je note un décalage après quelques semaines. En arrière qui plus est, ce qui est pénible car risque de mettre en retard. D'ailleurs Wikipedia mentionne un décalage d'environ 1s/jour.
Or le TOTP tourne toutes les 30 secondes et les systèmes ont généralement une tolérance de quelques codes (quelque ~= 1). C'est pour ça que tu constate que seulement certains se dérèglent, c'est simplement qu'ils n'ont pas la même tolérance vis-à-vis des codes trop en retard ou trop en avance. Donc un appareil TOTP doit être remis à l'heure environ tous les 30 jours.
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . Évalué à 10.
Oui, le constructeur m'a sorti la même excuse, qui est techniquement valide, sauf que commercialement, cela ne me satisfait pas…
Quelques liens:
PS: J'ai maintenant une montre solaire radio-pilotée, parfaite pour les fainéants comme moi.
[^] # Re: horloge interne se dérègle
Posté par steph1978 . Évalué à 4.
_
Tu veux dire qu'ils ont ajouté cette note après ton achat et ta réclamation ?
Dans tous les cas, merci pour ton journal qui rappelle qu'il faut se méfier de ce qu'on peut acheter.
[^] # Re: horloge interne se dérègle
Posté par GuyPidancet . Évalué à 4.
Je suppose que ce forum permet de répondre à certaines des préoccupations (avertissement : je travaille pour Token2). Tout d'abord, le problème de dérive temporelle est un problème bien connu pour tous les tokens matériels. En fait, nos solutions sont promues comme les premières permettant d'ajuster l'heure.
La note prévue sur la dérive temporelle a été publiée sur notre site web en 2020. En raison de quelques réaménagements sur le site, cela peut avoir un aspect différent, mais voici les liens :
Actuel:
https://www.token2.com/shop/page/totp-hardware-tokens-with-time-sync-feature
Archive Web (pour prouver qu'elle était là il y a 3 ans):
https://web.archive.org/web/20201205073642/https://www.token2.com/shop/page/totp-hardware-tokens-with-time-sync-feature
Malheureusement, la synchronisation horaire n'est possible que via USB ou NFC. Implémenter l'ajustement en utilisant les boutons sur l'appareil lui-même, comme proposé par Monsieur Rodier, n'est pas réalisable : bien qu'il soit possible d'ajuster l'heure elle-même, il est irréaliste de protéger cette procédure par un mot de passe (pour éviter les attaques de rejeu temporel).
À noter également que toutes les fonctionnalités, limitations, imperfections de conception et UX logicielle et licences du code source sont clairement décrites sur notre site web et la page du produit.
[^] # Re: horloge interne se dérègle
Posté par GuyPidancet . Évalué à 2.
Permettez-moi de répondre à cette partie de manière séparée :
Actuellement, il n'existe pas de modules de puces à quartz de haute précision en tant qu'entités intégrables distinctes. Même s'ils existaient, étant donné que le prix de l'Eco-Drive moins cher est supérieur à 1500 CHF et que la fonction de haute précision est son principal avantage commercialisé, il est probable que le coût ne soit pas comparable à celui des puces RTC actuelles (qui coûtent environ 1 à 2 CHF).
Cette technologie a émergé en 2019. Déjà à cette époque, notre approche consistait à ne pas investir dans le développement de produits OTP (qui ne sont pas du tout sécurisés) et à plutôt évoluer vers la stack FIDO. Pour la même raison, nous n'envisageons pas d'améliorer la précision de l'heure via la synchronisation radio ou des technologies similaires.
[^] # Re: horloge interne se dérègle
Posté par gUI (Mastodon) . Évalué à 5.
Dans le cadre d'un truc mobile autonome on pourrait imaginer d'y mettre un récepteur GPS, qu'on allume sur demande : il chope l'heure, resynchronise la RTC et zou, dodo jusqu'à ce qu'on le rappelle.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . Évalué à 5.
Pas besoin d'un GPS, il y a des récepteurs qui utilisent des signaux alternatifs.
J'ai aussi une horloge dans ma salle de bain qui se met à l'heure toute seule, mais je ne sais pas exactement quel réseau elle utilise.
[^] # Re: horloge interne se dérègle
Posté par gUI (Mastodon) . Évalué à 10. Dernière modification le 03 décembre 2023 à 18:29.
Très sûrement le DCF77. Oui tu as raison c'est plus simple et bcp moins consommateur d'élec je suppose. Par contre ça ne fonctionne que en Europe de l'Ouest.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: horloge interne se dérègle
Posté par totof2000 . Évalué à 2.
N'y a-t-il pas d'alternatives viables autres que le GPS ?
Le GPS ça peut être utile, mais d'un autre côté, parfois le signal ne passe pas c'était le cas quans j'étais dans mon ancien appartement par exemple).
[^] # Re: horloge interne se dérègle
Posté par gUI (Mastodon) . Évalué à 4.
GPS, 3G/4G, DCF77… il y a malheureusement à chaque fois des cas où ça capte pas.
Mais si on parle d'un truc mobile qui doit se remettre à l'heure de temps en temps, je pense que c'est moins gênant.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: horloge interne se dérègle
Posté par Andre Rodier (site web personnel) . Évalué à 3.
J'ai également un radio réveil DAB+, et il se met à l'heure tout seul. Il utilise probablement le signal DAB, pas besoin de GPS.
Pour info c'est un Pure Siesta.
[^] # Re: horloge interne se dérègle
Posté par gUI (Mastodon) . Évalué à 2.
Après quel est le plus simple à mettre en oeuvre, là est la question… un module GPS ça coûte plus rien maintenant (quelques €uros, antenne comprise), et ça pisse de l'UART qui fait que n'importe quel microcontrôleur pourra l'utiliser très facilement.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: horloge interne se dérègle
Posté par Strash . Évalué à 9.
Les récepteurs DCF77 coutent quelques centimes (avec l'antenne aussi), consomment beaucoup moins (quelques dizaine de micro A) et pissent aussi une donnée qui est facilement traitable par un microcontrôleur… et ils on la bonne intelligence de ne pas créer le doute sur leur utilisation dans le dispositif (on risque pas de te reprocher d'être un traceur caché).
[^] # Re: horloge interne se dérègle
Posté par gUI (Mastodon) . Évalué à 4.
Tu me donnes envie de jouer avec, je vais regarder ça :)
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: horloge interne se dérègle
Posté par cg . Évalué à 10.
En alternative, il y a les horloges atomiques miniatures. Ça se vend entre 2200€ à 5500€ à l'unité. Voilà une idée de cadeau bien plus originale qu'un vélo électrique moisi ou un bijou vaniteux :D.
# excusez ma naïveté
Posté par tkr (Mastodon) . Évalué à 0.
pourquoi ne pas utiliser le bete 2FA par sms?
et pourquoi vouloir absolument un TOTP/appli mobile sur… des sites de développement?
si j'entends bien, github/lab sont cités : pour remonter du debug dans l'univers OSS sur différents projets libres : j'ai jamais associé de no de tel à quel compte que ce soit (je le réserve exclusivement aux banques -pas d'applis- et au serv public -fisc), ca passe par défaut systématiquement par l'email : encore heureux!
[^] # Re: excusez ma naïveté
Posté par cg . Évalué à 5.
C'est essentiel de pouvoir protéger son code source, pour éviter des attaques de la chaîne de fabrication, par exemple.
La MFA par SMS est efficace, mais moins robuste, et plus coûteuse que par TOTP ou clé de sécurité.
Et donc, puisque tu en parles du mail… Protéger son mail (via webmail) par de la double authentification est très très très important : c'est souvent le mécanisme de récupération pour les mots de passe perdus. Et nos boîtes à lettres contiennent des historiques souvent copieux.
Pour connaître des personnes qui se sont fait hacker leur boîte mail, je peux te dire que ça fait du dégât.
Et c'est valable que ce soit dans le monde "pro" ou pas !
[^] # Re: excusez ma naïveté
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
Il faudrait plutôt pousser au blindage de la messagerie, vu comme c’est critique, plutôt que de demander d’utiliser un autre appareil tout aussi peu fiable (pour moi le dit smartphone ne l’est pas) où vont se retrouver toutes les clefs (y compris l’accès au mail)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: excusez ma naïveté
Posté par barmic 🦦 . Évalué à 3.
Il me semble que c'est toute la stack ss7 qui est faible et le non respect des standards + le maintenance des réseaux a complètement ossifié le réseau. Il va falloir faire son deuil un jour et passer à internet complètement un de ces 4. Ça n'empêche pas ton opérateur de proposer du SIP et un autre protocole interoperable pour de la messagerie.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: excusez ma naïveté
Posté par Olivier Serve (site web personnel) . Évalué à 2.
Parce que le SMS n'est pas du tout sûr. Les attaques de type "SIM swap" permettent à un attaquant de les détourner vers un mobile sous son contrôle. C'est encore assez rare chez nous, mais les US ont été pas mal touchés.
De plus, c'est un coût important pour les sites.
[^] # Re: excusez ma naïveté
Posté par Andre Rodier (site web personnel) . Évalué à 5. Dernière modification le 04 décembre 2023 à 17:08.
Tout à fait.
Lorsque tu seras en rase campagne, avec un accès wifi, mais pas d'accès au réseau mobile, tu comprendras.
De plus, sans même utiliser des techniques super invasives et visibles de « SIM swapping », il y a également des attaques qui permettent de rétrograder au vol le niveau de sécurité de ta connexion internet. Par exemple, ton téléphone passe soudainement en 2G, à partir d'une "IMSI-catcher". Le camion de plomberie blanc eu coin de la rue vient juste de récupérer ton SMS au vol, et tu n'as rien vu.
OK, on tape dans les techniques gouvernementales, mais ce ne serait pas la première fois que cela arriverait, non ?
C'est aussi dispo pour les personnes mal intentionnées, pourvu qu'elles aient un peu les moyens.
[^] # Re: excusez ma naïveté
Posté par Andre Rodier (site web personnel) . Évalué à 2.
Je me rends compte que c'est mal formulé, l'un n'empêche pas l'autre…
[^] # Re: excusez ma naïveté
Posté par gUI (Mastodon) . Évalué à 5. Dernière modification le 06 décembre 2023 à 08:07.
C'est aussi que je ne veux pas arriver un jour à entendre à la TV à propos d'un suspect "il refusait d'utiliser les SMS comme le 2FA et préférait le TOTP" comme argument au fait que quand même, il avait des trucs à se reprocher, c'est sûr !
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: excusez ma naïveté
Posté par Pol' uX (site web personnel) . Évalué à 4.
La principale chose qui empêche que ça arrive à la TV, c'est que ce sont des concepts non triviaux. Mais dans une enquête de la DGSI ont a vu arriver que le chiffrement des moyens de communication témoigne d'un comportement clandestin, chargeant les concernés pour actions conspiratives. Et le juge d'instruction a suivi…
Adhérer à l'April, ça vous tente ?
[^] # Re: excusez ma naïveté
Posté par gUI (Mastodon) . Évalué à 3. Dernière modification le 06 décembre 2023 à 08:08.
Je faisais allusion à ce style d'affaire, et justement, quand tout le monde l'utilisera (TOTP comme VPN) ce ne sera plus un argument (un peu comme fermer sa porte à clés aujourd'hui, ou plus sérieusement le HTTPS qui est vraiment arrivé partout).
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: excusez ma naïveté
Posté par devnewton 🍺 (site web personnel) . Évalué à 3.
Parce qu'envoyer des sms coûte cher ?
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: excusez ma naïveté
Posté par gUI (Mastodon) . Évalué à 4.
Tiens ça fait longtemps que j'avais pas regardé, oui ça reste très cher, chez OVH par exemple c'est 50€ les 1000. Quel scandale quand on y pense.
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: excusez ma naïveté
Posté par Faya . Évalué à 3.
J'ai «"codé"» un truc tout con récemment pour quelqu'un qui a un forfait lowcost avec SMS illimités. En utilisant https://llamalab.com/automate/ (PAS libre) j'ai pu automatiser l'envoi de SMS interfacé avec du polling de l'API Rest de son logiciel métier. Donc tout gratuit. Inconvénients majeurs :
- pas libre donc
- le «code» se fait à base de blocs à cliquer-glisser, un peu dans le genre Scratch, donc très peu pratique. Surtout sur un écran de téléphone… Mais pour faire un petit truc rapide ça dépanne. Et surtout ça marche.
[^] # Re: excusez ma naïveté
Posté par steph1978 . Évalué à 4.
donc son mobile poll une URL et si elle a un truc à envoyer c'est le mobile qui l'envoie.
roo, malin
faut rester sous le radar de l'opérateur parce que t'es pas sensé utiliser ton forfait pour un usage pro mais j'imagine que la barre de détection est haute.
[^] # Re: excusez ma naïveté
Posté par cg . Évalué à 4.
Au client, oui. À l'opérateur… non
^.^!De plus, la loi (française ou européenne, je ne sais plus) à changé et pour faire de l'envoi de SMS automatique, il faut avoir un numéro déclaré pour l'usage pour ne pas passer dans les filtres "pas entre 20h-8h" des SMS de démarchage. Il en découle que souvent les plateformes type Twilio facturent chaque message plus cher. Bref, faire de la MFA par SMS, c'est devenu en 2023 compliqué et cher, en plus d'être un moyen de moins en moins sûr (même si mieux que rien, qui à rabâcher :D).
[^] # Re: excusez ma naïveté
Posté par steph1978 . Évalué à 4.
parce qu'il faut donner son numéro de téléphone et moi, je veux pas.
pour éviter de se faire voler son compte.
[^] # Re: excusez ma naïveté
Posté par flagos . Évalué à 3. Dernière modification le 05 décembre 2023 à 05:12.
Tu peux aussi hoster du non libre, beaucoup d'entreprises développent leur software sur ces 2 plateformes.
Et en tant que company policy, le second facteur peut être obligatoire, ce qui est logique : le code source de l'entreprise est certainement l'asset le plus précieux en plus de tous les échanges écrits qui y sont stockés (roadmap par exemple).
# Rockbox
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 5.
Rockbox, qui s'installe sur plein de vieux baladeurs, trouvables à pas cher, intègre une appli d'OTP.
Le seul inconvénient c'est qu'il faut reconnecter le baladeur en USB pour ajouter un nouveau site avec son secret.
https://www.rockbox.org
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
[^] # Re: Rockbox
Posté par GuyPidancet . Évalué à 4.
Le stockage sur ces lecteurs audio portables n'est pas sécurisé, les secrets TOTP qui y sont écrits peuvent être facilement extraits, tandis que les jetons matériels spécialisés ou les clés de sécurité disposent d'une puce de stockage spéciale "sécurisée", où vous ne pouvez que écrire et utiliser les secrets TOTP, mais jamais les lire.
[^] # Re: Rockbox
Posté par BohwaZ (site web personnel, Mastodon) . Évalué à 3.
Pas vraiment un souci car c'est un second facteur, que tu as sur toi, sur un device qui ne se connecte même pas à Internet.
Après tout dépend du modèle de menace…
« Je vois bien à quels excès peut conduire une démocratie d'opinion débridée, je le vis tous les jours. » (Nicolas Sarkozy)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.