Tutankrypto
Jr. Member
 Offline
Activity: 49
Merit: 4
|
 |
March 27, 2020, 09:39:15 PM Merited by Halab (2), elma (2) |
|
Bonsoir, Moi j'utilise https://authy.com/ qui a est disponible sur android, ios, windoze et linux. Mais ce que je trouve très pratique c'est l'extension google chrome. En installant sur un smartphone, sur pc et sur chrome, les chances de perdre son(ses) pc smartphones au même moment sont réduites. |
|
|
|
|
|
elma
|
|
March 27, 2020, 09:55:35 PM |
|
Bonsoir, Moi j'utilise https://authy.com/ qui a est disponible sur android, ios, windoze et linux. pas mal ça ! Dire que j'ai passé 2 heures récemment à chercher un truc comme ça pour mon linux mint, que j'ai installé d'obscures apps en ligne de commande, et que rien ne fonctionnait ! |
"Qu’on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.“ (Richelieu)
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 10:54:20 AM |
|
Bonsoir, Moi j'utilise https://authy.com/ qui a est disponible sur android, ios, windoze et linux. Mais ce que je trouve très pratique c'est l'extension google chrome. En installant sur un smartphone, sur pc et sur chrome, les chances de perdre son(ses) pc smartphones au même moment sont réduites. Ce qui est très pratique du coup, c'est que niveau sécurité c'est à chier, et que sur un pauvre hack d'un truc que tu ne maitrises absolument pas, tu peux perdre tout. Je préfère largement faire du multi device à la main avec aegis, sans passer par un cloud tiers qui ajoute un vecteur d'attaque, ou même 2 sachant que si quelqu'un a tes accès authy il peut restaurer ton 2FA où il le veut. |
|
|
|
|
Tutankrypto
Jr. Member
Offline
Activity: 49
Merit: 4
|
|
March 28, 2020, 12:54:39 PM |
|
Bonsoir, Moi j'utilise https://authy.com/ qui a est disponible sur android, ios, windoze et linux. Mais ce que je trouve très pratique c'est l'extension google chrome. En installant sur un smartphone, sur pc et sur chrome, les chances de perdre son(ses) pc smartphones au même moment sont réduites. Ce qui est très pratique du coup, c'est que niveau sécurité c'est à chier, et que sur un pauvre hack d'un truc que tu ne maitrises absolument pas, tu peux perdre tout. Il y a un mot de passe perso à saisir pour restaurer tes tokens sur chaque nouveau device. A moins que le mdp ne soit stocké en clair dans leur BDD (ce qui est rarissime de nos jours), le niveau de sécurité est lié à mon avis à la qualité du mot de passe choisi. Je préfère largement faire du multi device à la main avec aegis, sans passer par un cloud tiers qui ajoute un vecteur d'attaque, ou même 2.
Je connaissais pas aegis! Je vais tester pour me faire une opinion. Cela dit l'indisponibilité sur IOS, Linux et windows est un handicap par rapport aux offres alternatives. |
|
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 12:59:51 PM |
|
Il y a un mot de passe perso à saisir pour restaurer tes tokens sur chaque nouveau device. A moins que le mdp ne soit stocké en clair dans leur BDD (ce qui est rarissime de nos jours), le niveau de sécurité est lié à mon avis à la qualité du mot de passe choisi.
Je sais pas si tu le fais exprès ou non, mais le but du 2FA de base est de ne pas se fier à des simples mots de passe. Et là tu me dis, wooooow mes 2FA sont protégés par un mot de passe, c'est 100% safe. Je crois que nous n'avons pas les mêmes exigences en terme de sécurité. De toutes façons quelle que soit la sécurité mise en place : stockage cloud < stockage offline. Celui qui ne comprend pas ça n'a rien compris à la sécurité informatique. |
|
|
|
|
|
elma
|
|
March 28, 2020, 02:36:04 PM |
|
Par principe, je n'ai pas confiance dans le stockage cloud de Authy . Si j'ai bien compris ce n'est qu'une option.
Ce qui m'intéresse par contre, c'est de l'avoir sur mon téléphone et sur mon Pc (linux). Mais pas de synchronisation pour moi. J'entrerai les codes manuellement.
Peut-on avoir Google auth sur le téléphone et Authy sur le pc pour un même compte 2fa ? Je pense que oui (test rapide avec un exchange où j'ai plus rien) mais quelqu'un peut-il confirmer ?
|
"Qu’on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.“ (Richelieu)
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 02:41:33 PM Merited by Halab (2), Yaplatu (1) |
|
Peut-on avoir Google auth sur le téléphone et Authy sur le pc pour un même compte 2fa ? Je pense que oui (test rapide avec un exchange où j'ai plus rien) mais quelqu'un peut-il confirmer ?
Bah évidemment. Suffit de comprendre le principe de fonctionnement. L'application que tu utilises ne change pas la validité de la clé privée utilisée (celle que tu utilises pour "enregistrer" un nouveau code 2FA). Mais je pense qu'utiliser une app 2FA sur son pc, si ce n'est pas un PC airgapped, est une mauvaise idée. Si tu te fais hack tes mdp il est probable que ce soit ton pc qui soit compromis. Stocker tes 2FA sur la même machine est stupide. L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement. |
|
|
|
|
|
elma
|
|
March 28, 2020, 03:23:31 PM |
|
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
Tu as complètement raison. Je vais plutôt l'installer sur une tablette (pour avoir un double en cas de (re)perte du téléphone). |
"Qu’on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.“ (Richelieu)
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 03:25:11 PM |
|
Tu as complètement raison. Je vais plutôt l'installer sur une tablette (pour avoir un double en cas de (re)perte du téléphone).
Tu peux simplement stocker une sauvegarde cryptée de aegis ou autre sur une clé usb/CD ROM/Disque dur externe etc. Ca marche très bien aussi et c'est moins cher qu'une tablette  |
|
|
|
|
|
elma
|
|
March 28, 2020, 05:49:37 PM |
|
Tu peux simplement stocker une sauvegarde cryptée de aegis ou autre sur une clé usb/CD ROM/Disque dur externe etc. Ca marche très bien aussi et c'est moins cher qu'une tablette J' imagine qu'Aegis importe ensuite les backup (c'est pas juste une sorte de fichier texte)... (j'ai bien sûr déjà la tablette) |
"Qu’on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.“ (Richelieu)
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 05:50:48 PM |
|
J' imagine qu'Aegis importe ensuite les backup (c'est pas juste une sorte de fichier texte)...
(j'ai bien sûr déjà la tablette)
Aegis propose une fonction import/export au format json oui. Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés. |
|
|
|
|
|
elma
|
|
March 28, 2020, 06:09:20 PM |
|
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ? |
"Qu’on me donne six lignes écrites de la main du plus honnête homme, j'y trouverai de quoi le faire pendre.“ (Richelieu)
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 06:26:52 PM |
|
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ? Bah sur un téléphone rooté visiblement aegis va aller fouiller dans les données de l'appli et permet de les récupérer alors même que google auth n'offre pas de possibilité d'export. |
|
|
|
|
Tutankrypto
Jr. Member
Offline
Activity: 49
Merit: 4
|
|
March 28, 2020, 06:38:08 PM |
|
Si tu te fais hack tes mdp il est probable que ce soit ton pc qui soit compromis. Stocker tes 2FA sur la même machine est stupide.
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
Perso j'ai un vieux laptop rarement utilisé qui me sert à cela. Donc je le connecte uniquement pour des besoins spécifiques et le reste du temps il est hors ligne et même éteint. L'avantage pour moi ici est qu'en cas de perte de mon smartphone, je peut brancher le laptop concerné, et avoir accès à mes comptes sans avoir besoin de passer par de laborieuses procédures de reset pour chaque compte. cela dit, je ne gardes pas une fortune dans ces comptes et au pire des cas, les pertes financières ne me mettrons pas à la rue. Par contre si d'importantes sommes sont en jeu, rien ne vaut un cold wallet pour sécuriser ses cryptos. Pour finir, je dirais que la notion de sécurité n'est que contextuelle car en fonction de la valeur du butin, aucune sécurité n'est inviolable et il est important de comparer les contraintes d'utilisations liées à un système de sécurité et la valeur de l'objet en question. |
|
|
|
|
Saint-loup
Legendary
Offline
Activity: 2646
Merit: 2382
|
|
March 28, 2020, 06:44:12 PM |
|
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ? Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!). Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer. |
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 06:55:22 PM |
|
Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend. Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici. |
|
|
|
|
Saint-loup
Legendary
Offline
Activity: 2646
Merit: 2382
|
|
March 28, 2020, 08:45:21 PM Merited by Halab (2), Yaplatu (1) |
|
Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend. Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici. Ce n'est tout simplement pas ce que prévoit la norme  We also RECOMMEND storing the keys securely in the validation system,
and, more specifically, encrypting them using tamper-resistant
hardware encryption and exposing them only when required: for
example, the key is decrypted when needed to verify an OTP value, and
re-encrypted immediately to limit exposure in the RAM to a short
period of time.https://tools.ietf.org/html/rfc6238 |
|
|
|
|
Yaplatu
|
|
March 28, 2020, 09:49:03 PM |
|
En tout cas perso' je ne sais pas comment les mecs arrivent à hack un 2FA. Si quelqu'un a une explication je suis preneur Enfin il y a bien la technique de synchroniser en temps réel la connexion via un phishing, ou alors un APK dégelasse... Mais je doute que Kenza se soit fait hack de cette façon. |
Bitcoin > Altcoin
|
|
|
asche
Legendary
Offline
Activity: 1484
Merit: 1489
I forgot more than you will ever know.
|
|
March 28, 2020, 10:20:31 PM |
|
En tout cas perso' je ne sais pas comment les mecs arrivent à hack un 2FA. Si quelqu'un a une explication je suis preneur Bah si tu arrives a récupérer les clés privées du 2FA, tu vois toujours pas ce que tu peux en faire ? Hacker de mes deux... |
|
|
|
|
|
Yaplatu
|
|
March 28, 2020, 10:30:37 PM |
|
Bah si tu arrives a récupérer les clés privées du 2FA, tu vois toujours pas ce que tu peux en faire ? Hacker de mes deux...
Non j'ai dit que je ne sais pas comment les mecs arrivent à hack la 2FA, par quel moyen ils arrivent à hack le 2FA si tu préfères. Je ne m'y connais pas du tout sur téléphone ou tablette, mais je me demande si c'est possible d'avoir une machine vérolé qui récupère par la même occasion la seed sur téléphone si tu connectes celui-ci par USB. Je pense que ça doit être possible, suffit de savoir comment contourner l'utilisateur root d'android et ça j'e n'ai aucune idée du procédé. |
Bitcoin > Altcoin
|
|
|
|
