Problème de Google authentificator

[camereye]

Bonsoir à tous,

mon smartphone vient de rendre l'âme, et je me rends compte que mes codes Google authentificator n'apparaissent pas sur mon nouveau téléphone (connecté sur le même compte google sous android).

Voyez vous un moyen de récupérer tous ces comptes ?

Sinon, savez vous comment se connecter sur Kraken en bypassant le 2 factor authentification ? (il me demande un Master key, je ne l'ai jamais créé).
Même question pour Coinbase.

Merci.

[1713948883]

1713948883

[1713948883]

1713948883

[1713948883]

1713948883

[Blind Legs Parker]

Au moment de créer ton code google authenticator tu as dû scanner un code QR donné par la plateforme d'échange (ou entrer un code compliqué composé de lettres des deux casses). Si tu as sauvé ce code quelque part tu dois le retrouver et le réentrer. Sinon ça sent pas bon du tout. Tu peux essayer de contacter les services clientèle de Kraken et Coinbase et leur dire que tu as perdu tes accès à GA, oui.
Sinon ta dernière chance sera de trouver un moyen de réparer ton téléphone et de l'utiliser une dernière fois pour accéder à Kraken et Coinbase, et à partir de là, changer tes codes GA. Mais normalement, si tu peux donner des preuves de ton identité à Kraken et Coinbase, ils devraient pouvoir faire quelque chose, je pense.

[camereye]

Au moment de créer ton code google authenticator tu as dû scanner un code QR donné par la plateforme d'échange (ou entrer un code compliqué composé de lettres des deux casses). Si tu as sauvé ce code quelque part tu dois le retrouver et le réentrer. Sinon ça sent pas bon du tout. Tu peux essayer de contacter les services clientèle de Kraken et Coinbase et leur dire que tu as perdu tes accès à GA, oui.
Sinon ta dernière chance sera de trouver un moyen de réparer ton téléphone et de l'utiliser une dernière fois pour accéder à Kraken et Coinbase, et à partir de là, changer tes codes GA. Mais normalement, si tu peux donner des preuves de ton identité à Kraken et Coinbase, ils devraient pouvoir faire quelque chose, je pense.

Pour Coinbase, j'avais utilisé Authy et il existe une procédure de réinitialisation (qui prend 24H à priori, j'attends le résultat).
Pour Kraken, je ne me souviens pas d'avoir créé une master key. J'ai contacté le support, ils devraient me répondre demain.

Dans tous les cas, ce n'est pas bien grave car je ne laisse jamais rien sur les exchanges, mais ce système de 2 factor authentification n'est pas encore optimum...

[Meuh6879]

il fait ce qu'il fait : créer une barrière à 2 niveaux vers un service.

1) mot de passe
2) GA

... si tu perds le téléphone (puisque tout le monde sait qu'on n'a pas un GA sans l'IMEI du téléphone + Adresse MAC de la carte wifi associé), t'es dans le caca car c'est comme pèter son ordi. et ne pas avoir SAUVEGARDER son wallet.dat

c'est une des raison pour lesquel j'ai des mot de passe sur les fichiers ... et pas dans un système qui peut merder du jour au lendemain juste parce qu'il trouve cela fun.

[kcud_dab]

... si tu perds le téléphone (puisque tout le monde sait qu'on n'a pas un GA sans l'IMEI du téléphone + Adresse MAC de la carte wifi associé), t'es dans le caca car c'est comme pèter son ordi. et ne pas avoir SAUVEGARDER son wallet.dat

Qu'est ce que tu racontes comme bétises ?
Il n'y a pas de lien entre ton telepone (IMEI / adresse MAC) et les codes Google Authentiticator qui sont dedans !
Comme l'indique Blind Legs Parker, Il suffit(ait) simplement de noter les codes fournis pour restaurer les accès sur un autre device (portable ou pas, tu peux même utiliser ton ordi si ça te chantes pour l'OTP).

Bref... camereye : si tu n'as pas backup tes codes il faudra contacter le support pour qu'ils réinitialisent ton compte, ils vont de te poser quelques questions et ça risque de prendre un peu de temps mais au final ça devrait fonctionner.

[camereye]

Update :

C'est bon, j'ai récupéré le contrôle de mes comptes :

- coinbase : il a suffit d'une réinitialisation d'Authy.

- kraken : j'ai dû contacter le support et répondre à quelques questions. Ils m'ont désactivé ensuite le google 2FA. J'ai pu reconfigurer mon google authentificator.

Morale de l'histoire : bien penser à sauvegarder le code de récupération master key pour chaque compte !

[craked5]

Update :

C'est bon, j'ai récupéré le contrôle de mes comptes :

- coinbase : il a suffit d'une réinitialisation d'Authy.

- kraken : j'ai dû contacter le support et répondre à quelques questions. Ils m'ont désactivé ensuite le google 2FA. J'ai pu reconfigurer mon google authentificator.

Morale de l'histoire : bien penser à sauvegarder le code de récupération master key pour chaque compte !

Grave!
Ceci dit c'est quand même pas mal foutu le tout. GA c'est relou mais niveau sécurité il me semble que c'est incrackable (j'en profite pour faire ce genre d'affirmations, quelqu'un me corrigera peut-être, hésitez pas parce que j'ai peut-être trop confiance en ce machin) donc ça vaut le coup.
Par contre est-ce quelqu'un sait comment on TRANSFERT un compte GA d'un téléphone à un autre, j'ai dû passer par le service client de Kraken alors que j'avais encore l'ancien tel mais juste parce que je voulais utiliser le nouveau, y a pas un moyen de transférer les codes quand on a bien les deux téléphones encore fonctionnels?

[Rocou]

Comme l'indique Blind Legs Parker, Il suffit(ait) simplement de noter les codes fournis pour restaurer les accès sur un autre device (portable ou pas, tu peux même utiliser ton ordi si ça te chantes pour l'OTP).

Quels codes?
Et une fois que tu récupères ces fameux codes, on s'en sert comment? Par ailleurs, Google Authenticator n'existe pas sur ordi.

[kcud_dab]

Quand un site te permet de configurer du 2FA/OTP il t'affiche souvent un qrcode à scanner avec ton téléphone mais aussi un code à coté qui contient les même infos (en gros de quoi configurer un client OTP).
Il te suffit donc de noter ce code (ou de garder une copie du QRCode, ça revient au même) pour pouvoir reconfigurer un google authentificator sur un autre téléphone.
Si tu n'as pas ce code il faudra voir avec le support du site en question pour le désactiver/modifier (c'est ce qu'à du faire camereye)

Pour finir Google Authenticator n'est qu'un client OTP (TOTP & HOTP) parmi d'autres, il y a par exemple FreeOTP sur Android qui fait exactement la même chose ( https://f-droid.org/repository/browse/?fdid=org.fedorahosted.freeotp&fdpage=8&fdstyle=grid ) et c'est sur qu'il existe des clients sur desktop (je ne vais pas en cité car je n'en utilise pas).
Il y a même des client web pour de l'otp, ex http://gauth.apps.gbraad.nl/  (stockage en LocalStorage dans le browser)

[Sniper76]

[...] y a pas un moyen de transférer les codes quand on a bien les deux téléphones encore fonctionnels?

En supprimant le 2FA depuis l'ancien téléphone et en le réactivant avec le nouveau?

Je crois savoir que c'est la seule solution dans un cas comme celui-la.

[kcud_dab]

[...] y a pas un moyen de transférer les codes quand on a bien les deux téléphones encore fonctionnels?

En supprimant le 2FA depuis l'ancien téléphone et en le réactivant avec le nouveau?

Je crois savoir que c'est la seule solution dans un cas comme celui-la.

Je ne sais pas si Google Authentificator permet d'exporter sa conf  (j'utilise FreeOTP et dans tous les cas j'ai des bakcups de mes "codes", visiblement c'est possible avec Google Authentificator via google / en bidouillant via adb) mais pour info il est tout à fait possible d'avoir le même "compte" OTP sur plusieurs device (j'ai certains code sur mon tel, d'autre sur mon ordi, et certains sur les deux)

[Rocou]

Quand un site te permet de configurer du 2FA/OTP il t'affiche souvent un qrcode à scanner avec ton téléphone mais aussi un code à coté qui contient les même infos (en gros de quoi configurer un client OTP).
Il te suffit donc de noter ce code (ou de garder une copie du QRCode, ça revient au même) pour pouvoir reconfigurer un google authentificator sur un autre téléphone.
Si tu n'as pas ce code il faudra voir avec le support du site en question pour le désactiver/modifier (c'est ce qu'à du faire camereye)

Je viens de vérifier sur Paymium, il n'y a ni qrcode, ni code.

Pour finir Google Authenticator n'est qu'un client OTP (TOTP & HOTP) parmi d'autres, il y a par exemple FreeOTP sur Android qui fait exactement la même chose ( https://f-droid.org/repository/browse/?fdid=org.fedorahosted.freeotp&fdpage=8&fdstyle=grid ) et c'est sur qu'il existe des clients sur desktop (je ne vais pas en cité car je n'en utilise pas).
Il y a même des client web pour de l'otp, ex http://gauth.apps.gbraad.nl/  (stockage en LocalStorage dans le browser)

Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.
Je n'ai pas trouvé de clients desktop.

Enfin bref, c'est du google tout craché.

[ZenFr]

A l'heure où se faire racketter son smartphone semble être une fatalité devant laquelle tout le monde baisse les bras, le Google Authentificator me pose problème.

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.

Je vais donc probablement prendre un second smartphone qui sera dédié à cela et qui n'aura même pas de carte SIM : je pense que le transfert des codes d'un smartphone à l'autre va être encore un beau moment de galère.... sans même parler du quid des traces laissées sur l'ancien smartphone : la suppression de Google authentificator enlève-t'elle profondément toute trace des clés ? Rien de moins sur avc Google et je ne serai pas surpris qu'un petit utilitaire de hacking puisse permettre l'accès à ces clés même après effacement, et je ne suis as parano, il suffit d'avoir un peu d'expérience en sécurité informatique.

[JUmpy14]

salut j'ai eu le même soucis que toi...smartphone HS
Heureusement j'avais un Master code...je te conseille donc de le creer au plus vite c'est pas long à faire

Pour Authy je ne sais pas comment je vais faire 

[Blind Legs Parker]

Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.

Trouvé sur google en quelques secondes :
OTP : One-Time Password
TOTP : Time-Based One-Time Password
HOTP : HMAC-based one-time password. Aucune idée de ce qu'est HMAC ? Moi non plus mais la réponse doit sûrement se trouver là : https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm. Par contre il y a du jargon, sur celui-là.

Je n'ai pas trouvé de clients desktop.

Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.

A l'heure où se faire racketter son smartphone semble être une fatalité devant laquelle tout le monde baisse les bras, le Google Authentificator me pose problème.

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.

Je ne pense pas que ça soit tant un probème que ça. Avec juste ton OTP personne ne peut accéder à ton compte. C'est ça le principe : il faut l'OTP et le mot de passe. Si on te vole ton smartphone et que tu as gardé ta clé privée (autre part que sur ton smartphone, duh) tu peux réinitialiser tes codes. Une fois que tu as fait ça et puis que tu as accédé au site protégé par l'OTP tu peux même demander de nouvelles clefs privées si ça peut te faire dormir plus tranquile par rapport au voleur mais je ne pense pas que ça soit nécessaire ni même que ça change quoi que ce soit : logiquement ça doit être prévu de telle façon que quand tu réinitialise tes clefs privées sur un nouveau smartphone les codes ne s'affichent plus sur l'ancien. Enfin ça me semblerait normal.
Il n'y a donc aucune insécurité à ce niveau. C'est juste chiant si on te vole ton smartphone. Mais se faire voler son smartphone est déjà chiant de base. Et puis on ne te vole sûrement pas ton smartphone tous les jours de toute façon donc bon te faire chier 10 minutes à réinitialiser tes codes au cas où cá arrive c'est pas la mort.
L'OTP n'est certainement pas parfait, mais craindre de se faire voler ses accès en se faisant voler son téléphone c'est comme craindre de se faire voler ses bitcoins en se faisant voler son PC (ou les perdre s'il flanche tout simplement du jour au lendemain, ce qui est bien plus courant) : ça serait quand même une sacré erreur de design de la part de concepteurs. Non ça ne marche pas comme ça. Les concepteurs ont pensé à ça. Il n'y a aucun risque de vol et pour récupérer ses accès il suffit juste de prendre un peu de précautions. Surtout avec son portefeuille de bitcoins, cela dit, parce qu'en ce qui concerne l'OTP sur les exchanges etc, tes clefs privées sont connues du site qui te les as données et ils en ont gardé une copie, donc ils peuvent sauver ton cul même si t'as complètement merdé comme camereye l'a fait.

[kcud_dab]

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.

Avec seulement ton téléphone on  ne peut pas se connecter sur ton compte, c'est justement le principe.

Je vais donc probablement prendre un second smartphone qui sera dédié à cela et qui n'aura même pas de carte SIM : je pense que le transfert des codes d'un smartphone à l'autre va être encore un beau moment de galère.... sans même parler du quid des traces laissées sur l'ancien smartphone : la suppression de Google authentificator enlève-t'elle profondément toute trace des clés ? Rien de moins sur avc Google et je ne serai pas surpris qu'un petit utilitaire de hacking puisse permettre l'accès à ces clés même après effacement, et je ne suis as parano, il suffit d'avoir un peu d'expérience en sécurité informatique.

Si tu ne te connectes pas depuis ton téléphone directement il y a vraiment pas d'intéret de prendre un second téléphone dédié : ta clé OTP ne te sert à rien sans ton login / mot de passe, c'est uniquement une sécurité en plus !
Pour ce qui est du transfert entre les téléphone, comme dit plus haut si tu prends tes précautions (ie noter le code sur un papier) tu pourras restaurer tes clés sur n'importe quel device en .10 sec

PS / rappel, il n'y a pas que Google qui fait des clients OTP donc si tu n'as pas confiance dans Google tu peux utiliser un autre software (par ex j'utilise FreeOTP qui est open source et dispo sur f-droid)

[ZenFr]

J'aimerai être aussi serein que vous sur cette procédure 2FA sur smartphone.

Sans en faire des tonnes, en France il y a un vrai problème d'insécurité au quotidien : dans mon entourage proche il ne faut pas remonter à plus de 2 ans pour arriver à une dizaine de cas de racket/vol de smartphones... On pourrai croire que c'est un problème de lieu de résidence, mais quand j'interroge autour de moi, que ce soit en région parisienne, en province ou même à la campagne, ce sont les mêmes témoignages.
Encore pire, quand vous allez déposer plainte à la police, non seulement celle-ci vous explique que vous ne retrouverez jamais votre portable, mais que cette plainte ne sert à rien à part faire faire de la paperasse à l'OPJ : au final, la foi suivante, vous n'allez même plus porter plainte. J'ai même eu le cas d'un policier qui lors de ce dépot de plaintes, m'a expliqué qu'il s'est fait agressé dans son propre bureau : je ne sais plus combien de fractures et de journées d'ITT et le coupable était en liberté dès la fin de sa garde à vue.... le juge en ayant décidé ainsi.

Pour ce qui est de la sécurité intrinsèque au smartphone, il faut voire bien au-delà du 2FA et élargir à tout le smartphone. Combien d'entre nous ont des infos personnelles sur leur smartphone qui permettent de réinitialiser non seulement les logins/password des comptes sur les exchanges mais aussi les clés 2FA ? Vous voulez la réponse ? Je pense que c'est le cas de chacun d'entre nous. Vous accédez à vos courriels depuis votre smartphone ? Le voleur pourra réinitialiser votre login/password sur vos exchanges. Votre répertoire, votre compte FaceBook ou autre réseau social comprends des données personnelles comme votre date de naissance, votre adresse, les prénoms de votre femme, de vos enfants : c'est autant d'informations personnelles qui permettront au voleur de demander à votre exchange de réinitialiser vos clé 2FA à son profit. En fait ces smartphones et les informations qu'ils contiennent ou auxquelles elles permettent d'accéder sont certainement les pires outils de sécurité.

Donc, la sécurité du 2FA sur smartphone, franchement je suis loin d'être convaincu et je suis en pleine réflexion pour trouver une solution.

[kcud_dab]

Je suppose que tu ne te balades pas avec un portefeuille (€ ou BTC) sur toi alors ? Trop de risque de se faire racket !
Pareil pas de CB car on risquerait de t'escorter au distributeur et de te menacer pour récupérer ton code....

Pour ton histoire de mails etc.. c'est potentielement vrai mais ça l'est tout aussi (voir plus) si tu n'as pas de 2FA : encore une fois le 2FA est une mesure supplémentaire, ça n'enlève pas de sécurité (bon avec quelques réserves sur le 2FA par SMS mais c'est une autre histoire).

Dernier point.. un téléphone ça se protége aussi : si je te file mon téléphone sans le password tu n'auras pas d'accès à mes 2FA, ni à mes contacts, ni à mes email. De plus mon smartphone est chiffré donc même en le branchant sur un ordi tu ne pourras pas récupérer grand chose (et j'aurais eu le temps de changer mes password / reset certains trucs).

Après si tu ne veux vraiment pas utiliser ton smartphone et que tu as un autre ordi/tablette chez toi ça fonctionne aussi, je pense juste que d'avoir un smartphone dédié à ça est un peu overkill

[Rocou]

Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.

Trouvé sur google en quelques secondes :

 
Oui, j'ai également trouvé la théorie de la relativité en quelques seconde sur Internet...
Bon blague à part, c'est beaucoup de choses à appréhender juste pour une opération qui devrait être basique.

Je n'ai pas trouvé de clients desktop.

Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.
[/quote]

Voilà, "personne n'a déjà testé". À croire que tout le monde se fiche de sa propre sécurité.
(Par ailleurs, je suis sous MacOS mais cela me regarde)

[Blind Legs Parker]

Nan si ça se trouve ce programme n'est juste pas bon. On ne trouve pas que des bonnes choses en une minute de recherche sur google. Mais c'est pas moi qui ai besoin d'un client desktop. Or comme tu as dit que tu n'as rien trouvé  .

Bon blague à part, c'est beaucoup de choses à appréhender juste pour une opération qui devrait être basique.

Les deux premiers sont faciles à comprendre. C'est juste le HOTP qui est bien retors comme il faut. Les autres c'est juste les initiales. OTP : mot de passe à usage unique, et boum, emballé c'est pesé. 10 secondes sur google. C'est pas pour faire ma mauvaise langue. Tout le monde n'a pas le réflexe d'utiliser google. Mais pour les questions de vocabulaire du style c'est souvent un bon réflexe à avoir. Récemment un de mes potes (Slovaque, avec qui je communique en anglais) m'a sorti "IDK" dans une conversation facebook. J'avais pas la moindre idée de ce que ça voulait dire mais un copié-collé rapide dans google m'a appris que c'était les initiales de I Don't Know.
Pour les programmes à installer sur son PC par contre il vaut mieux se donner le temps de se renseigner et de poser des questions, mais de ton aveu personnel, tu n'en avais pas trouvé donc voila, je t'en ai trouvé un sur lequel tu pouvais commencer à te renseigner (et comme ça m'a pris une minute je me suis permis de douter que tu aies cherché avant de poser la question, surtout après le coup de l'OTP  ).