Bitcoin Forum

Si on utilise Google authentification comment ça se passe si on formate son ordi ou si on en change?
J'utilise Athy destock pour l'authentification.

Tu as une key de restauration à sauvegarder au moment ou tu actives ta double authentification  sur un site.

Ok, merci
 :D

Exactement. A chaque génération de clé, le site te fournit soit une clé, soit un QR Code, sauvegarde celui-ci et tu es à l'abris.

Dans mon cas sur mon téléphone je sauvegarde l'appli avec Titanium Backup et je sauvegarde cette sauvegarde.
Si mon tel rend l'ame ou si je dois tout réinstaller je pourrais toujours réutiliser cette sauvegarde.

Titatium Back up, je crois que je l'avais sur un ancien tel, ça marche que sur les android rootés si ma mémoire est bonne.
T'as pas peur de te faire pirater?
Je me souviens qu'il y avait une appli qui permettait même d'activer la 4G à distance par sms, sur andro rooté, pour pouvoir ensuite accéder au tel, en cas de perte ou de vol...  :-\

Comme dit F2b

Rooté ça veut juste dire que tu as les droits admin sur ton tel hein.
Ça ne le rend pas vulnérable si tu installes aucune appli vérolée.

Et même si, tu devrais valider toute élévation de privilèges.

Mais de toute façon nous les avons déjà les droits root, non ? Par-contre cette application s'octroie les droits root pour faire de la bidouille avec tes appli' ?

Non.
Et non aussi.

Si tu as 2sec je veux bien que tu expliques vite fait alors ? Puis on parle de l'utilisateur root, ou c'est un autre truc différent le fait de " rooté " ?

On parle d'android là.
Sur android comme sur iOS, tu n'as pas les droits root sur ton téléphone. Il est verouillé.
Quand tu root ton téléphone, tu restaures l'accès au compte root.

Une appli, soit SuperSU soit magisk te permettra de contrôler quelle appli aura droit d'élever ses privilèges et à quelle occasion.

Quand je veux sauvegarder une appli avec Titanium, une pop up s'affiche, m'informant que Titanium demande des droits root, j'ai alors le choix d'accepter ou de refuser.

Autrement, que ce soit sous windows, linux, ou mac, il est conseillé de toujours utiliser un compte NON admin pour l'utilisation de tous les jours.

Ah d'accord merci pour l'info', c'est toujours bon à savoir ^^

Ce qui peut être risqué en revanche c'est installer une autre rom, qui peut contenir des mouchards. Enfin ça reste vrai pour les ROM d'origine aussi mais bon ...

Lol ça va, je bidouille sur les PC, mais sur les tel' je suis une brelle, donc bon je ne vais pas m'amuser à changer la rom, mais merci de l'info' ^^

Puree mais t'es pas un vrai no life alors! Fais gaffe y'en a qui se font bannir de JVC pour moins que ça.  :D

https://www.disko.fr/wordpress/wp-content/uploads/2012/11/visuel02.jpg

Qu'est-ce que tu vas raconter à tes petits enfants après? Que t'as pas rooté un tel avant les années 2020?  :D
 

Ce n'est pas faux ^^

Chaque nouvelle année je me dis " bon il faut que je me forme sur l'environnement des SmartPhone ", puis chaque année je procrastine. Puis il faut dire que l'univers " informatique " c'est tellement vaste et varié qu'une seule vie ne suffit pas  :D

Bah de toutes façons c'est plus la mode, maintenant c'est les cryptos... quoique c'est plus la mode non plus.  :D PTDR
C'est quoi la mode geek en ce moment au fait?

L'intelligence artificielle, fin quoique je ne sais pas trop si nous pouvons qualifier cela de mode geek  ::)

L'inintelligence artificielle. Mais ça mérite largement un autre thread.

Il manque le sens commun à L'IA, le 1er qui saura le faire.. bingo !

(Un exemple de sens commun : un pote sors de la pièce. Il n'est donc plus la, il ne peut pas être à 2 endroits au même instant. On le comprends à partir de 2 ans si mes souvenirs de psycho sont bon, sans que personne ne nous l'ai jamais expliqué. L'IA par contre il faut tout lui apprendre.)

---

Pour en revenir au sujet je sauvegarde également ma clé (juste la suite de caractères), mais surtout j'ai pu tester qu'en la mettant sur 2 tels en même temps le F2A fonctionne très bien (contrairement à ce que je pensais).

Les deux génèrent exactement le même "MDP" en même temps ?

Non pas le même je viens de regarder, par contre les 2 fonctionnent.

Normal. Je crois que ça fonctionne un peu comme le principe de clé privée.
On te fournit la clé privée, et en gros ce que fait l'appli c'est qu'elle signe un message valable x secondes.

Le truc qui fait que c'est pas le même je sais pas dire, mais impossible de savoir combien de fois cette clé en particulier a été utilisée :)

Sur les sites c'est pourtant écris "work only on one device". Enfin un truc du genre...

Par contre je ne comprends pas quand tu parles de durée, que je prenne l'un ou l'autre les 2 fonctionnent, au même moment.

Bah je veux dire que chaque code est valabler une 30aine de secondes.

Jamais vu le message "work only on one device". Je ferais gaffe la prochaine fois.

C'est que l'un de tes telephone est desynchronise.
Essaye de les rallumer et de faire ca :

Source : https://support.cex.io/hc/en-us/articles/201516127-What-do-I-do-if-My-2FA-token-is-always-invalid-



Non, ce n'est pas vrais.
J'ai tous mes 2FA sur deux telephone (si j'en perd un).
Et aussi,  je stocke le 2FA de mon frère (qui est en France) comme ca je peux me connecter a son compte Binance.
Plusieurs fois teste au telephone, le numéro temporaire  (30s) est toujours en parfaite syncro et ce meme sur deux telephone situes a l'oppose du globe est sur deux fuseaux horaires sépares de 10h.



Je suis sur le point de tous migrer de Google authentificator vers Authy.
Je leur ai pose deux ou trois question concernant le back up, les telephone perdu, mais aussi le risque de SIM SWAP et la possibilite de quelqu'un d’obtenir mes 2FA code  (si ils clonent ma carte sim). J'attend le reponse

J'ai testé aujourd'hui, pour un site qui ne passait pas avec mon tel principal, effectivement un seul des 2 tels avait le bon code, j'ai vu qu'en fait les 2 donnaient le même code à quelques secondes d'intervalle, un des deux est désynchro.

Attention quand même aux applications qui sauvegardent la génération des clefs sur un compte en ligne c'est pas génial si vous vous faites pirater le compte vous perdez tout.

Personnellement je fais une capture d'écran du code généré sur chaque site ou je l'active et je sauvegarde les codes de secours dans keepass. Si jamais mon téléphone vient à être formaté je peux réinstaller le tout rapidement sans faire appel au support du site en question.

cette quesion est très interessant car je me suis enregistrer sur binance en 2018 avec cette methode; malheuresement mon phone ou j'avais telecharger Google authentification m'a éé volé; du tout j'ai plus assez à mon compte biance car je n'est plus de keys. j'ai perdu ainsi mes 12 etheureum classic
mainteant j'ai trop peur d'etuliser  Google authentification.
mais quand tu dis comment ça se passe si on formate son ordi ou si on en change; est t'il desormais d'etuliser aplication sur ordi car moi on me demande de l'installer sur android

Tu peux faire une demande de récupération sur Binance.

Sinon il est bien précisé de conserver le code lorsque tu actives Google Auth. Si tu n'es pas capable suivre ça, la crypto n'est pas pour toi. Si garder ce code là est trop dur, je n'imagine meme pas une clé privée.

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

Le plus simple c'est de "screener" (copie d'écran) le QR code qui t'est donné et après de le stocker dans un endroit sûr. Pourquoi pas en ligne, dans un mail ou autre mais à ce moment là il vaut mieux éviter d'indiquer de manière trop explicite de quel exchange il s'agit...

Et pis si un hacker te le demande tu lui file ça ira plus vite.
Plus sérieusement faut crypter ce que tu mets sur internet.
Et ne pas mettre un image sur internet comme ça.

Car, un hacker ça doit pas être trop dure de programmer un soft qui trouver des QR code, matrix ou autre dans 1To de donnée.
Quand ils volent de la base de donner c'est pas que toi.

Tu as peut-être raison, mais si il ne sait pas à quel site ça correspond ça ne lui sert à rien au hacker.
En plus il faut qu'il trouve également le login et le mot de passe de la victime en question.
Le F2A c'est une protection en plus du login et du mot de passe, ça ne les remplace pas, donc bon.
Après plus les montants en jeu sont importants plus il faut être prudent, évidemment.

Je pense pas que ça soit le plus dure, car à mon avis il a les IP des mecs.
Et comment te dire un windows mal configuerer c'est un peu comme un émental.
Moi j'ai pas les connaissances pour faire ça, mais je me dis c'est jouable pour un bon.

Oui c'est vrai que certains webmails permettent d'accéder "au code" (header) des mails oú on trouve parfois l'adresse IP du sender, effectivement.

Saint-loup ,
En 2 secondes de recherche et c'est récent : https://www.ouest-france.fr/high-tech/microsoft/piratage-d-outlook-hotmail-et-msn-microsoft-reconnait-que-des-hackers-ont-pu-lire-vos-mails-6311853
Ce n'est pas la plus petite boite mail ;)

Donc vraiment chiffré ce que vous voulez garder sur le réseau à coup de 4096 bit min.

Pfff si c'est véridique c'est vraiment pas sérieux de la part de Microsoft. Après bon, il faut qu'ils trouvent ton adresse IP, qu'ils piratent ton ordi, qu'ils trouvent à quel site correspond le QR code... bon je dis pas que c'est impossible, mais c'est pas encore gagné non plus.
Mais t'as raison c'est peut-être plus prudent de chiffrer, même si c'est lourd de devoir ensuite gérer la clef et déchiffrer les fichiers lorsque tu en as besoin. 

Sinon il suffit de les stocker sur un support amovible. Tout comme vos clés privées d'ailleurs. Côté USB, disque dur, SSD, choisissez votre favori.

Plus qu'à chiffrer le tout, terminé.

Il peut utiliser cryptogator (free) pour syncroniser entre un dossier de son PC et dropbox le tout en 4096 bits
Il suffit juste de creer un fichier .txt et d'y ecrire le QR key du 2FA.

Ou sinon, il peut utiliser lastpass et ecrire dans son vault le QR code KEY


Edit : il y a aussi l'option d'utiliser AUTHY mais je n'aime pas trop le fait que via un SIM swap quelqu'un pourrait eventuelleement avori tous les 2FA

Désolé mais c'est une très mauvaise idée.

Le chiffrage 4096 ou 99999999 bit c'est très beau, ça tient 0 contre une attaque par dictionnaire.

Du coup mot/phrase de passe très complexe qu'il faut aussi stocker ailleurs.

Une solution chiffrée avec mot de passe simple/correct mais qui est stocké offline plutôt que online est bien plus sur.

Je ne parle même pas de faille qui pourrait être découverte dans la méthode de chiffrement du logiciel. Ce ne serait pas la première fois.


La sécurité de la solution au jour actuel n'est pas déterminante quand on stocke en ligne. Il faut prendre en compte la situation dans 1 mois, 2 ans, 10 ans, parce que tu ne saurais jamais si les données ont été récupérées ou non.

Morale : stocker offline.

Mouef enfin cryptomator c'est pas non plus de la poudre de perlinpinpin




Et ça aussi
Source : https://cryptomator.org/

Tu en pense quoi ?
Je pensais que c'était plus "resilient" comme technique.

Toujours la même chose. Ca a beau être quelque chose qui semble infaillible aujourd'hui. Ca ne garantit pas que ça le soit dans 10 ans.

Pour des données sensibles le cloud est par définition une mauvaise idée.

Une sécurisation se fait  dans un ordre précis, qu'il s'agisse de données, de personnes, ou de tout ce que tu veux.


1. La première étape est d'essayer de supprimer le danger (ici le danger serait le risque de vol). La façon de faire ça est que personne ne sache que cette donnée existe.

2. La seconde étape est une protection globale de tes données pour éviter leur vol. C'est à dire empêcher tout accès à ces données = Mise hors ligne

3. La troisième étape est de sécuriser cette donnée précise. => Chiffrage.

L'efficacité de la protection est aussi dans cet ordre. 1>2>3.

Je sauvegarde mes données sensibles (mots de passe, clés privés, ...) en deux copies chiffrés. Chaque copie est sur un ordinateur indépendant dans deux lieu différents. Mes documents les moins secrètes (fichiers personnels, images...) que je met parfois sur le cloud, sont sauvegarder en format winrar sécurisé par un mot de passe difficile a deviner.

C'est très important !

Je conseille aussi de garder une deuxième copie des données sur un autre périphérique, dans un autre lieu sure.

C'est une évidence :)

papier ou pdf sur clé usb encryptée, au cas où