En confinement et n'ayant pas assez de temps, je passe quand même certaines nuits à faire des trucs de "geek". Ou pour traduire, des choses que tout le monde devrait faire.

Après avoir découvert que la double authentification (i.e mot de passe + autre moyen) était assez vulnérable par SMS. Et parce que que cela me fait royalement chier les applications 2FA quand il faut déverrouiller le smartphone à chaque fois, je me suis penché sur le 2FA physique et je viens d'acheter deux clés Yubico.Ayant perdu un téléphone avec 2FA, j'ai expérimenté la galère de retrouver l'accès à tous les sites configurés. (Oui, oui le backup, je sais...).

Je l'ai à moitié fait pour le côté test et kiff et à moitié pour en finir avec tout ce que je viens de citer. Je mets donc ça dans mon blog personnel et qui a un intérêt pour le suivre pourra. Je mettrais à jour le billet lors de mes différents tests (qui pourront s'arrêter très vite si c'est de la merde).

Je me dit qu'appuyer sur un bouton sur des devices physiques sera moins chiant et plus secure que toute autre méthode.

Et puis je mets aussi ça là car ça encouragera peut-être des gens qui ne savent même pas ce qu'est la double authentification à s'y intéresser peut-être enfin. Le futur est je pense au password-less car le password, c'est de la daube

- Tout passer en 2FA dès que possible- Remplacer les 2FA SMS et ou OTP sans clé dès que possible. (OTP = l'appli sur le smartphone, en gros).- Me faciliter la vie- Ne plus me retrouver bloqué comme un con comme ça m'est arrivé.

Si vous cherchez sur le net, certains vous diront qu'utiliser deux clés, c'est de la connerie. Mon avis c'est que c'est pratique et pas moins sécurisé. Mais je ne suis pas un expert sécurité et si vous avez une source qui dit le contraire, je changerais d'avis avec de bons arguments ;)

Chacun fait comme il veut et je ne fais que partager un retour d'expérience.

Clairement le plus pratique, si le site le propose. On vous parlera de "clé de sécurité" par exemple, comme chez Google. Vous "appairez" alors votre/vos clés au site internet et pour vous connecter, en plus du mot de passe, vous vous authentifiez avec celle-ci. Vos informations sont enregistrées dans la clé. Pas besoin d'application de 2FA en plus. Le plus simple, le mieux, le plus secure selon moi.

En troisième backup, si vous avez déjà deux clés, je partirais sur des codes à imprimer et à vérifier tous les ans pour voir si ils s'effacent pas. Aucune trace informatique, non piratable (à ne pas garder sur le PC )

Si le site ne propose que ça, c'est nul mais c'est faisable ! Ca n'est pas indiqué quand vous allez sur le "get started" de Yubico mais ils ont une application "Yubico Authenticator". Cela fonctionne comme une application "d'authenticator" sur mobile. Sauf que rien n'est conservé ni sur le mobile, ni sur votre PC. Toutes les clés sont sur le hardware. Vous retirez la clé, il n'y a plus de trace.

Pour faire l'enregistrement, il faut afficher le QR code du site en question à l'écran puis cliquer sur le "+" dans l'application. Yubico authenticator détecte le QR Code et vous permet l'enregistrement.

L'astuce ici pour enregistrer ça sur deux clés, c'est, selon mes tests, de c/c le QR code indiqué lors de l'authentification de la première clé. Vous finissez ensuite tranquillement le process.Vous enlevez la première clé, vous mettez la deuxième et depuis la même application, vous ajoutez à nouveau votre code avec le QR code à l'écran (vous l'ouvrez dans paint ou dans n'importe quel logiciel). Bien sûr, ne jamais enregistrer cette capture d'écran et ne pas activer l'historique de presse papier sous windows. Histoire de, copier autre chose sitôt l'enregistrement terminé.

J'ai tenté d'enregistrer la seconde clé durant le process, ça semble marcher mais ça foire lamentablement quand on veut se connecter. Et la méthode qui marche n'est pas plus embêttante.

Sur mobile, il faut aussi télécharger l'application de Yubico. Lorsque vous approchez votre clé compatible NFC, l'application Yubico s'ouvre et vous pouvez copier le code à entrer sur votre site/application/etc pour vous connecter. L'accès n'est bon que pour un code et si vous voulez avoir un nouveau code car il a expiré par exemple, il faut remettre un "coup de clé" sur le téléphone. Ca ajoute quelques secondes à la connexion, mais ça fonctionne.

L'avantage, en plus de la sécurité, c'est de ne pas avoir à dévérouiller ce **** de téléphone pour vous connecter à vos sites. Il suffit de switcher sur l'application windows/linux/mac pour se connecter.

Il est aussi possible d'ajouter un mot de passe pour accèder à votre clé. Vous pouvez enfin nommer votre site "XFKfgiekfkei" au lieu du vrai nom, par parano. A vous de vous y retrouver. Les chances qu'un attaquant ait accès à votre nom de compte, votre mot de passe et votre clé ou vos codes imprimés est quand même relativement faible ;)

Alors si il lui faut aussi le mdp de votre clé yubiko et le déchiffrement de vos petits noms perso, on est plutôt pas mal, je pense.

Pensez, selon les sites et si ils ne désactivent pas automatiquement ces méthodes, à supprimer l'envoi de SMS ou autres types de méthode d'authentification disponible (le code par mail étant sans doute le pire).

Au final, le problème de cette solution, c'est de dépendre de l'offre software de yubico et d'espérer que vous n'ayez pas de problème avec.

Sur windows 10 + android pas trop vieux, cela a l'air de fonctionner parfaitement.

On oublie, c'est piratable de pleins de façons.

Je ne suis pas prêt à passer au passwordless et tellement peu de site le propose que j'ai décidé de ne pas l'utiliser. Même principe que l'U2F mais on oublie la partie password. Je testerais sur un faux compte histoire de voir.

Réservé

Je l'utilise sur Paypal, Twitter et sur mes Tracker P2P. Parfait, via android l'app Google Authenticator (qui change le code tous les 10 sec). Première fois que j'ai l’impression d'être en sécurité, j'aimerai que ça soit dispo pour tous les sites.

Par-contre, j'avais pas pensé au fait de perdre le smartphone.

Y'a un peu de tout, en fait, des choses assez chères, d'autres moins mais qui d'après certains sites ne sont pas ridicules pour autant. En gros de 10 à 75 euros.

Mais c'est pas juste la 2FA classique, ça ?

Ou j'ai rien compris ?

Backup de connexion. Comme avec n'importe quelle méthode de 2FA.

Je vais mettre ça avec mes clés, je me fais un peu confiance pour pas les perdre, ça fait 25 ans que j'y arrive.

Et si tu perds ta clé usb ?

J'ai pas compris ton histoire de mail, t'as un compte mail pour chaque compte sur un site ?

Yep, pas faux. Je backup le ficher de temps en temps.

En fait c'est le même compte. Mais un alias différent par site oui. Ça prend 30 secondes de créer un alias.

Deux raisons, de un, si hack, tester le mail qui aura fuité sur d'autres sites ne donnera rien.

Et deux, si le site en question se met à vendre le mail pour des spams, suffit de supprimer l'alias.

C'est piratable un keypass ? Jamais eu envie de me faire chier avec un fichier clé.

Je copie partout mon keypass comme un nase.

Aussi pour ça que je veux rajouter de la sêcurité pour mes comptes essentiels.