Téléphone HS - 2FA perdu - Compte Kraken inaccessible

[elma]

Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.

Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.

Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.

J'ai vérifié, en effet on peut récupérer les clés Google auth sur un téléphone rooté.
J'y connais rien en téléphone: j'imagine que "rooter" un téléphone signifie que l'on perd toutes les données. Si je perds mon téléphone non rooté, un malfaisant qui veut rooter mon tél, n'aura plus accès aux fichiers Google auth ?


Ça craint car certains se servent de leur téléphone pour accéder aux exchanges et peuvent avoir enregistrer leurs mots de passe.

[1715338935]

1715338935

[1715338935]

1715338935

[1715338935]

1715338935

[1715338935]

1715338935

[1715338935]

1715338935

[1715338935]

1715338935

[asche]

Rooter un téléphone veut simplement dire que tu à accès aux droits "root", ou administrateur si tu veux un équivalent windows.
Cela signifie qu'une élévation de privilèges est possible.

Rooter ton tel ne te fais perdre aucune donnée.

En revanche pour rooter ton tel il te faudra souvent unlock ton bootloader, ce qui te fais effectivement formater ton téléphone.

[Saint-loup]

Je ne sais pas si vous avez vu mais une mise à jour de Google Authenticator est sortie il y a quelques jours
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Elle permet enfin à Authenticator d'exporter ses codes !

L'appli génère un QR code (ou plusieurs si il y a beaucoup de codes à exporter) qu'il faut scanner avec l'appareil vers lequel on désire importer ses codes.

Ce gif animé montre la manipulation :
https://www.androidpolice.com/wp-content/uploads/2020/05/authenticator.gif

J'ai bien évidemment essayé de décoder les QR codes avec le logiciel ZBar (ne pas le faire avec un site internet en ligne)
Mais j'obtiens otpauth-migration://offline?data= et une chaine chiffrée(ou compressée) à la suite (entrecoupée de %2F et de %2B)


Cependant ça peut certainement être utile de conserver ces QR codes en lieu sûr pour pouvoir les réimporter facilement en cas de panne de l'appareil,de bug ou d'effacement inopiné de l'appli...

[guigui371]

WOW !
merci pour l'info !
Pour le coup ca complete pas mal ma procedure de sauvegarde des 2FA.
(je garde le  2FA passcode dans mon "lastpass")

merci