google authetification

[asche]

Non pas le même je viens de regarder, par contre les 2 fonctionnent.

Normal. Je crois que ça fonctionne un peu comme le principe de clé privée.
On te fournit la clé privée, et en gros ce que fait l'appli c'est qu'elle signe un message valable x secondes.

Le truc qui fait que c'est pas le même je sais pas dire, mais impossible de savoir combien de fois cette clé en particulier a été utilisée

[1714190578]

1714190578

[1714190578]

1714190578

[1714190578]

1714190578

[JohnUser]

Sur les sites c'est pourtant écris "work only on one device". Enfin un truc du genre...

Par contre je ne comprends pas quand tu parles de durée, que je prenne l'un ou l'autre les 2 fonctionnent, au même moment.

[asche]

Bah je veux dire que chaque code est valabler une 30aine de secondes.

Jamais vu le message "work only on one device". Je ferais gaffe la prochaine fois.

[cestmoi]

Non pas le même je viens de regarder, par contre les 2 fonctionnent.

C'est que l'un de tes telephone est desynchronise.
Essaye de les rallumer et de faire ca :

Google Authenticator: Invalid tokens are caused by incorrect device clock settings. Your clock must show correct local time, date and time zone to work properly. Android and Windows phones have an option to correct for time errors inside the Authenticator app properties, if you do not wish to sync your clock. IPhones must be set to use internet time to make sure the clock is synced properly.

Source : https://support.cex.io/hc/en-us/articles/201516127-What-do-I-do-if-My-2FA-token-is-always-invalid-

Sur les sites c'est pourtant écris "work only on one device". Enfin un truc du genre...

Par contre je ne comprends pas quand tu parles de durée, que je prenne l'un ou l'autre les 2 fonctionnent, au même moment.

Non, ce n'est pas vrais.
J'ai tous mes 2FA sur deux telephone (si j'en perd un).
Et aussi,  je stocke le 2FA de mon frère (qui est en France) comme ca je peux me connecter a son compte Binance.
Plusieurs fois teste au telephone, le numéro temporaire  (30s) est toujours en parfaite syncro et ce meme sur deux telephone situes a l'oppose du globe est sur deux fuseaux horaires sépares de 10h.



Je suis sur le point de tous migrer de Google authentificator vers Authy.
Je leur ai pose deux ou trois question concernant le back up, les telephone perdu, mais aussi le risque de SIM SWAP et la possibilite de quelqu'un d’obtenir mes 2FA code  (si ils clonent ma carte sim). J'attend le reponse

[JohnUser]

J'ai testé aujourd'hui, pour un site qui ne passait pas avec mon tel principal, effectivement un seul des 2 tels avait le bon code, j'ai vu qu'en fait les 2 donnaient le même code à quelques secondes d'intervalle, un des deux est désynchro.

[Viewtifulced]

Attention quand même aux applications qui sauvegardent la génération des clefs sur un compte en ligne c'est pas génial si vous vous faites pirater le compte vous perdez tout.

Personnellement je fais une capture d'écran du code généré sur chaque site ou je l'active et je sauvegarde les codes de secours dans keepass. Si jamais mon téléphone vient à être formaté je peux réinstaller le tout rapidement sans faire appel au support du site en question.

[talom]

Si on utilise Google authentification comment ça se passe si on formate son ordi ou si on en change?
J'utilise Athy destock pour l'authentification.

cette quesion est très interessant car je me suis enregistrer sur binance en 2018 avec cette methode; malheuresement mon phone ou j'avais telecharger Google authentification m'a éé volé; du tout j'ai plus assez à mon compte biance car je n'est plus de keys. j'ai perdu ainsi mes 12 etheureum classic
mainteant j'ai trop peur d'etuliser  Google authentification.
mais quand tu dis comment ça se passe si on formate son ordi ou si on en change; est t'il desormais d'etuliser aplication sur ordi car moi on me demande de l'installer sur android

[asche]

Si on utilise Google authentification comment ça se passe si on formate son ordi ou si on en change?
J'utilise Athy destock pour l'authentification.

cette quesion est très interessant car je me suis enregistrer sur binance en 2018 avec cette methode; malheuresement mon phone ou j'avais telecharger Google authentification m'a éé volé; du tout j'ai plus assez à mon compte biance car je n'est plus de keys. j'ai perdu ainsi mes 12 etheureum classic
mainteant j'ai trop peur d'etuliser  Google authentification.
mais quand tu dis comment ça se passe si on formate son ordi ou si on en change; est t'il desormais d'etuliser aplication sur ordi car moi on me demande de l'installer sur android

Tu peux faire une demande de récupération sur Binance.

Sinon il est bien précisé de conserver le code lorsque tu actives Google Auth. Si tu n'es pas capable suivre ça, la crypto n'est pas pour toi. Si garder ce code là est trop dur, je n'imagine meme pas une clé privée.

[debutant]

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

[Saint-loup]

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

Le plus simple c'est de "screener" (copie d'écran) le QR code qui t'est donné et après de le stocker dans un endroit sûr. Pourquoi pas en ligne, dans un mail ou autre mais à ce moment là il vaut mieux éviter d'indiquer de manière trop explicite de quel exchange il s'agit...

[baba0000000000]

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

Le plus simple c'est de "screener" (copie d'écran) le QR code qui t'est donné et après de le stocker dans un endroit sûr. Pourquoi pas en ligne, dans un mail ou autre mais à ce moment là il vaut mieux éviter d'indiquer de manière trop explicite de quel exchange il s'agit...

Et pis si un hacker te le demande tu lui file ça ira plus vite.
Plus sérieusement faut crypter ce que tu mets sur internet.
Et ne pas mettre un image sur internet comme ça.

Car, un hacker ça doit pas être trop dure de programmer un soft qui trouver des QR code, matrix ou autre dans 1To de donnée.
Quand ils volent de la base de donner c'est pas que toi.

[Saint-loup]

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

Le plus simple c'est de "screener" (copie d'écran) le QR code qui t'est donné et après de le stocker dans un endroit sûr. Pourquoi pas en ligne, dans un mail ou autre mais à ce moment là il vaut mieux éviter d'indiquer de manière trop explicite de quel exchange il s'agit...

Et pis si un hacker te le demande tu lui file ça ira plus vite.
Plus sérieusement faut crypter ce que tu mets sur internet.
Et ne pas mettre un image sur internet comme ça.

Car, un hacker ça doit pas être trop dure de programmer un soft qui trouver des QR code, matrix ou autre dans 1To de donnée.
Quand ils volent de la base de donner c'est pas que toi.

Tu as peut-être raison, mais si il ne sait pas à quel site ça correspond ça ne lui sert à rien au hacker.
En plus il faut qu'il trouve également le login et le mot de passe de la victime en question.
Le F2A c'est une protection en plus du login et du mot de passe, ça ne les remplace pas, donc bon.
Après plus les montants en jeu sont importants plus il faut être prudent, évidemment.

[baba0000000000]

C'

Salut, et comment on sauvegarde sous IOS ? je flippe à chaque fois de tout devoir reinstaller ...

Le plus simple c'est de "screener" (copie d'écran) le QR code qui t'est donné et après de le stocker dans un endroit sûr. Pourquoi pas en ligne, dans un mail ou autre mais à ce moment là il vaut mieux éviter d'indiquer de manière trop explicite de quel exchange il s'agit...

Et pis si un hacker te le demande tu lui file ça ira plus vite.
Plus sérieusement faut crypter ce que tu mets sur internet.
Et ne pas mettre un image sur internet comme ça.

Car, un hacker ça doit pas être trop dure de programmer un soft qui trouver des QR code, matrix ou autre dans 1To de donnée.
Quand ils volent de la base de donner c'est pas que toi.

Tu as peut-être raison, mais si il ne sait pas à quel site ça correspond ça ne lui sert à rien.
En plus il faut qu'il trouve également le login et le mot de passe de la victime en question.

Je pense pas que ça soit le plus dure, car à mon avis il a les IP des mecs.
Et comment te dire un windows mal configuerer c'est un peu comme un émental.
Moi j'ai pas les connaissances pour faire ça, mais je me dis c'est jouable pour un bon.

[Saint-loup]

Je pense pas que ça soit le plus dure, car à mon avis il a les IP des mecs.
Et comment te dire un windows mal configuerer c'est un peu comme un émental.
Moi j'ai pas les connaissances pour faire ça, mais je me dis c'est jouable pour un bon.

Oui c'est vrai que certains webmails permettent d'accéder "au code" (header) des mails oú on trouve parfois l'adresse IP du sender, effectivement.

[baba0000000000]

Saint-loup ,
En 2 secondes de recherche et c'est récent : https://www.ouest-france.fr/high-tech/microsoft/piratage-d-outlook-hotmail-et-msn-microsoft-reconnait-que-des-hackers-ont-pu-lire-vos-mails-6311853
Ce n'est pas la plus petite boite mail

Donc vraiment chiffré ce que vous voulez garder sur le réseau à coup de 4096 bit min.

[Saint-loup]

Saint-loup ,
En 2 secondes de recherche et c'est récent : https://www.ouest-france.fr/high-tech/microsoft/piratage-d-outlook-hotmail-et-msn-microsoft-reconnait-que-des-hackers-ont-pu-lire-vos-mails-6311853
Ce n'est pas la plus petite boite mail

Donc vraiment chiffré ce que vous voulez garder sur le réseau à coup de 4096 bit min.

Entre le 1er janvier et le 28 mars 2019, le support technique de Microsoft a été victime d’un piratage informatique. Des hackers sont parvenus à subtiliser les codes d’accès d’un employé du géant américain. Grâce à ce précieux sésame, ils ont eu accès aux comptes des utilisateurs des services de messagerie Outlook, Hotmail et MSN, tous gérés par Microsoft.

Pfff si c'est véridique c'est vraiment pas sérieux de la part de Microsoft. Après bon, il faut qu'ils trouvent ton adresse IP, qu'ils piratent ton ordi, qu'ils trouvent à quel site correspond le QR code... bon je dis pas que c'est impossible, mais c'est pas encore gagné non plus.
Mais t'as raison c'est peut-être plus prudent de chiffrer, même si c'est lourd de devoir ensuite gérer la clef et déchiffrer les fichiers lorsque tu en as besoin. 

[asche]

Sinon il suffit de les stocker sur un support amovible. Tout comme vos clés privées d'ailleurs. Côté USB, disque dur, SSD, choisissez votre favori.

Plus qu'à chiffrer le tout, terminé.

[cestmoi]

Il peut utiliser cryptogator (free) pour syncroniser entre un dossier de son PC et dropbox le tout en 4096 bits
Il suffit juste de creer un fichier .txt et d'y ecrire le QR key du 2FA.

Ou sinon, il peut utiliser lastpass et ecrire dans son vault le QR code KEY


Edit : il y a aussi l'option d'utiliser AUTHY mais je n'aime pas trop le fait que via un SIM swap quelqu'un pourrait eventuelleement avori tous les 2FA

[asche]

Il peut utiliser cryptogator (free) pour syncroniser entre un dossier de son PC et dropbox le tout en 4096 bits

Désolé mais c'est une très mauvaise idée.

Le chiffrage 4096 ou 99999999 bit c'est très beau, ça tient 0 contre une attaque par dictionnaire.

Du coup mot/phrase de passe très complexe qu'il faut aussi stocker ailleurs.

Une solution chiffrée avec mot de passe simple/correct mais qui est stocké offline plutôt que online est bien plus sur.

Je ne parle même pas de faille qui pourrait être découverte dans la méthode de chiffrement du logiciel. Ce ne serait pas la première fois.


La sécurité de la solution au jour actuel n'est pas déterminante quand on stocke en ligne. Il faut prendre en compte la situation dans 1 mois, 2 ans, 10 ans, parce que tu ne saurais jamais si les données ont été récupérées ou non.

Morale : stocker offline.

[cestmoi]

Mouef enfin cryptomator c'est pas non plus de la poudre de perlinpinpin

Free client-side encryption for your cloud files.
Open source software: No backdoors, no registration.

Et ça aussi

Secure and Trustworthy

Cryptomator encrypts file contents and names using AES. Your passphrase is protected against bruteforcing attempts using scrypt. Directory structures get obfuscated. The only thing which cannot be encrypted without breaking your cloud synchronization is the modification date of your files.

Cryptomator is a free and open source software licensed under the GPLv3. This allows anyone to check our code. It is impossible to introduce backdoors for third parties. Also we cannot hide vulnerabilities. And the best thing is: There is no need to trust us, as you can control us!

Vendor lock-ins are impossible. Even if we decided to stop development: The source code is already cloned by hundreds of other developers. As you don't need an account, you will never stand in front of locked doors.

Source : https://cryptomator.org/

Tu en pense quoi ?
Je pensais que c'était plus "resilient" comme technique.