Journal Récupérer les secrets OTP de Google Authenticator

Posté par  . Licence CC By‑SA.
Étiquettes : aucune
31
15
mar.
2021

Je suis un grand fan des MFA, et j'utilise(-ais) énormément Google Authenticator comme deuxième facteur de sécurité.
Et puis j'ai commencé à utiliser l'excellent oathtool, en stockant mes secrets OTP dans mon GoPass (lui-même dans un git chiffré, mais on va s'arrêter là, vous avez l'idée du niveau de sécurité que je demande).

Demander sur internet comment récupérer un secret de Google Authenticator est une gageure et le plus souvent vous demandent de virer l'ancien pour en générer un nouveau.

Sauf que parfois, on ne peut pas (je te regarde sévèrement OpenVPN…).
Pour ça j'ai écrit otp_recover_secret un petit soft en Go qui a le mérite d'être standalone: donnez-lui à manger un export de GoogleAuthenticator, il va vous "rendre" les secrets qu'il y a dedans.

En espérant que ça aide au moins une autre personne que moi.

https://github.com/Smiling-Dwarf/otp_recover_secret

  • # Petits 2 cents

    Posté par  . Évalué à 5.

    Juste pour te dire que gopass est capable de générer de l'otp tout seul, pas besoin d'ajouter oathtool

    gopass totp -o -c "MyOTPRootTokenAsAGoPassSecret"

  • # Hein?

    Posté par  (site Web personnel) . Évalué à 6.

    Sauf que parfois, on ne peut pas (je te regarde sévèrement OpenVPN…).

    Comment tu fais quand tu perds ton portable?

    • [^] # Re: Hein?

      Posté par  . Évalué à 2.

      Tu as stocké la clé de génération (seed = graine ?) dans un coffre fort numérique bien sûr, ainsi que les codes de secours. Non ?

  • # merci !

    Posté par  . Évalué à 2.

    merci bien (mieux vaut tard que jamais…), grâce à toi j'ai enfin pu me débarrasser de google authenticator, pour passer au logiciel libre FreeOTP+ !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.