|
Alpha & Oméga
|
Le 9 novembre, google va pour "ma sécurité", me forcer à activer la double authentification.
Je recevrais un SMS ou une notification push à chaque connection. Bien que n'ayant pas activé la double authentification, j'en suis souvent victime puisque étant sous VPN, google ne reconnait jamais ma machine. Je ne veux pas de la double authentification. C'est LA vulnérabilité majeure dans mon système de sécurité, je perds mon cellulaire ? Il brise ? Je change de numéro ? Je suis bloqué de TOUS les sites webs sans pouvoir avoir accès à aucun mot de passe Pourquoi, parce que Lastpass a un système de fucking double authentification qui me renvoit à .... gmail. Alors bien sur il y a les one time password en cas de problèmes. Des passwords de 30 caractères de long, qui doivent donc être stockés dans un fichier, en ligne évidement. En gros, la double authentification risque de me locker, et me force à prendre des mesures non sécuritaires pour protéger mes accès. C'est de la merde. Et je veux m'en débarrasser totalement. Est-ce qu'il y a moyen ou je dois changer de fournisseur mail ? Dernière modification par Zangdar MortPartout ; 02/11/2021 à 16h14. |
02/11/2021, 16h08
|
La double authentification chez google
| Suivre |
|
|
Partager | Rechercher |
|
Alpha & Oméga
|
La réponse m'intéresse. Je pense que ça me gaverait trop de toujours devoir avoir mon tel sous la main quand j'utilise mon PC.
|
|
02/11/2021, 16h17
|
|
Alpha & Oméga
|
J'avais opté pour la double authentification avec Google Authentificator pour quelques services. J'ai reset mon téléphone sans y penser et ça a bloqué mes accès. Ça a été la croix et la bannière pour tout récupérer. Il y en a même qui m'ont facturé.
Pour le compte Google, tu peux ajouter un 2e numéro de téléphone pour l'authentification au cas où tu perds ton téléphone... |
|
03/11/2021, 02h33
|
|
Alpha & Oméga
|
J'ai l'impression que vous vous torturez pour pas grand chose.
J'ai activé la double authentification de bien longtemps. Le téléphone ne m'envoie pas de sms mais un message me demandant si c'est moi qui vient de me connecter. Un simple oui et je passe définitivement. Si tu es derrière un VPN, il te posera la question tout le temps mais bon en soit, c'est gênant. En cas de téléphone indisponible, tu peux toujours passer un mail (par thunderbird et un mot de passe définitif qui ne bloque pas l'authentification). Le truc, c'est qu'il devient plus difficile de se faire pirater ton compte. Les doubles authentifications, j'en ai partout. J'ai changé de téléphone récemment et à part quelques exemples bien particulier, cela ne m'a jamais posé de problème avec les doubles authentifications. |
|
03/11/2021, 09h35
|
|
Alpha & Oméga
|
Si c'est juste une histoire de mails, pourquoi ne pas utiliser un client mail ? Je ne mets quasi plus les pieds sur le site google, entre le client mail et gdrive qui a un client PC.
|
|
03/11/2021, 10h57
|
|
Alpha & Oméga
|
Je t'aurai bien dit une clef Titan ou Yubico avec NFC, mais ça ne ferait que déplacer le soucis, au lieu d'avoir besoin de ton smartphone sur toi, t'aura besoin de la clef,
|
|
03/11/2021, 11h00
|
|
Alpha & Oméga
|
Citation :
S'il n'y a pas moyen de forcer google à désactiver cette faille de sécurité béante, il y a peut être d'autres fournisseurs d'emails qui n'imposent pas la DA ? Sinon ben ... je vais devoir exporter mes mots de passe dans une feuille excel \o/ |
|
03/11/2021, 14h49
|
|
Alpha & Oméga
|
Citation :
Et il n'y aucune faille de sécurité là dedans, c'est justement pour éviter les failles. Sinon tu peux aussi utiliser un coffre-fort à mort de passe style Keepass. C'est pas comme des solutions n'existaient pas.... |
|
03/11/2021, 15h18
|
|
Alpha & Oméga
|
J'utilise la double authentification sur la plupart de mes comptes (via une App similaire à Google Authentificator), et la totalité des sites propose de télécharger et/ou imprimer 10 codes de secours.
Et comme dit au dessus, une simple sauvegarde du téléphone règle la "faille". En ce qui concerne la nécessité d'avoir son téléphone, ca concerne seulement les machines à l'extérieur, je déclare mes machines comme de confiance donc on ne demande pas le second code. |
|
03/11/2021, 16h01
|
|
Alpha & Oméga
|
Citation :
Si ta réponse à mon topic c'est : "tu n'as pas de problèmes" garde ton énergie, ça ne m'intéresse pas. Citation :
Et imprimer des codes de secours, c'est basiquement donner accès à un quidam à l'ensemble de mes comptes. C'est ce que je dis plus haut, cette "mesure de sécurité" est en fait une faille géante. Soit elle te met à risque de perdre tes accès, soit tu es obligé de les fragiliser en stockant des codes quelques part. Mes mots de passe font chacun 30 caractères de long, je n'en ai qu'un seul à retenir. Ils sont impossibles à craquer la seule façon est de les intercepter. Mais je suis obligé de dealer avec cette connerie qui me met à risque. La seule solution qui m'intéresse est une façon de opt-out définitivement de la double authentification, si c'est pour me proposer autre chose, ce n'est pas une solution pour moi et ça ne m'intéresse pas. |
|
03/11/2021, 16h03
|
|
Alpha & Oméga
|
Non imprimer les codes ne donnent accès qu'à la personne qui sait à quoi ils correspondent, qui connait ton nom d'utilisateur et ton mot de passe.
Ce genre de sécurité existe pour les piratages à distance (comme la plupart, si quelqu'un a un accès physique, y'a pas grand chose qui peut résister). Par contre utiliser un VPN c'est basiquement donner à des inconnus tout ton traffic. Et non je n'apporte pas de solution, puisque ca va devenir obligatoire, à part te donner des pistes pour t'aider, ou te dire de changer de service, t'auras rien d'autre. |
|
03/11/2021, 16h51
|
|
Alpha & Oméga
|
Citation :
Ensuite des solutions, on t'en a donné (cf. Thunderbird ou d'autres clients qui enregistrent les mots de passes). Ensuite, utiliser un VPN, c'est un peu se tirer une balle dans le pied surtout que dans une majorité d'utilisation, tu n'en as tout simplement pas besoin. Et ensuite non, il n'y a pas de failles. C'est toi qui fait des choix à la con et qui ne prend pas les dispositions minimum pour éviter ce genre de conneries. Si tu espère une solution miracle, il n'y en a pas. Commence déjà par sauvegarder ton téléphone, récupérer les codes de secours ou de récupération. La double authentification de google t'emmerde à cause de ton VPN (là encore un choix que tu fais). Tu confonds sécurité et paranoïa. |
|
03/11/2021, 16h55
|
|
|
Une fois que tu auras activé la DA via la telephone, tu auras le choix de passer a une DA par TOTP, qui te permettra d'avoir un backup de tes seed TOTP / de te servir d'outils en CLI pour gerer ta DA.
Dans tous les cas, tu auras un truc a backup par contre, que ca soit des OTP avec la solution native google, ou les seeds du TOTP. J'imagine que ce choix n'est pas dispo avant pour permettre a Google de recuperer ton numéro de telephone. Dernière modification par -------------------------------------------------- ; 03/11/2021 à 17h04. |
|
03/11/2021, 16h57
|
|
Alpha & Oméga
|
Citation :
PC: 1 Accédez à votre compte Google. 2 Dans la section "Sécurité", sélectionnez Validation en deux étapes. Pour cela, vous devrez peut-être vous connecter. 3 Sélectionnez Désactiver. 4 Une fenêtre pop-up s'ouvre et vous invite à confirmer la désactivation de la validation en deux étapes. Sélectionnez Désactiver. Android: 1 Sur votre téléphone ou votre tablette Android, ouvrez l'application Paramètres puis Google puis Gérer votre compte Google. 2 En haut de l'écran, appuyez sur Sécurité. 3 Sous "Se connecter à Google", appuyez sur Validation en deux étapes. Pour cela, vous devrez peut-être vous connecter. 4 Appuyez sur Désactiver. 5 Confirmez l'opération en appuyant sur Désactiver. Je ne vois pas ou est le problème en fait. |
|
03/11/2021, 18h51
|
|
Alpha & Oméga
|
Le souci c'est que google force la double authentification. Il n'y aura plus vraiment le choix à terme (9 novembre) : https://www.frandroid.com/marques/go...r-votre-compte
Perso, je suis pas fan... mais à priori, c'est la tendance actuelle... La fin des mots de passe et la joie des sms avec des codes / notifs. |
|
03/11/2021, 18h54
|
|
Alpha & Oméga
|
Mwouais.
Du coup c'est impossible de refuser. Ou alors faut juste faire une croix sur le compte Google (ce qui ne serait pas forcément une mauvaise idée). A la rigueur tu peux contourner le problème en mettant ton compte Google sur un vieux téléphone avec un forfait à 1€ genre LaPoste qui ne te servira à rien d'autre qu'a valider les notifications en cas de pépin. Vu comme tu as l'air précautionneux, je suppose que tu n'utilises pas leur mail, que tu ne stockes pas de documents, que tu ne te sers pas de leur GPS, et que tu n'est pas loggé quand tu recherches des trucs sur internet. Donc pourquoi tu voudrais un compte Google en fait ? Tout serait plus simple si tu n'étais pas connecté du tout. |
|
03/11/2021, 19h02
|
|
Alpha & Oméga
|
Citation :
Après, on peut imaginer creer un fake compte android à chaque new tel en mode osef. Mais bon... |
|
03/11/2021, 19h02
|
|
Alpha & Oméga
|
tu as des solutions physiques sinon (clé Titan). Ca pourrait plus te convenir. : https://www.frandroid.com/marques/go...-vie-numerique
https://store.google.com/product/tit...rity_key?hl=fr J'avais étudié vite fait le truc il y a 2 ans mais j'ai pas sauté le pas. J'utilise l'authenticator google sur mon smartphone mais c'est vrai qu'en cas de perte du tel ca risque d'être galère... La double authentification de manière générale c'est vraiment indispensable. Les mdp même forts, ça offre une protection minimale. Un code à 4 chiffres + token c'est quasi inviolable. j'avais vu passer une étude sur les failles de sécurité qui mettait en évidence que la longueur ou la complexité du mot de passe n'est pas déterminant dans la protection. C'est contre intuitif mais avec les divers moyens de hack, c'est pas suffisant. Je pense que pour des raisons légales, de responsabilité, les sociétés comme Google forcent la double authentification et donc pas de possibilité de la désactiver. Sinon cette solution ne peut pas convenir ? : https://support.logmeininc.com/fr/lastpass Je savais pas qu'on pouvait l'intégrer dans Lastpass (j'utilise Keepass qui est moins user friendly) Avec la solution donnée dans Lastpass, ca te permet de reconfig ton google auth sur ton nouveau tel en 2 sec. Dernière modification par Xubfin ; 03/11/2021 à 19h44. |
|
03/11/2021, 19h31
|
|
Alpha & Oméga
|
Tu as dû t'en rendre compte par toi même, mais tu peux désactiver le 2fa. Je viens de le faire sur le compte de ma femme pour qui ça a été activé ce matin.
En gros ils l'activent pour montrer aux utilisateurs que ça existe, mais n'obligent en rien à le conserver. |
|
10/11/2021, 09h49
|
|
Alpha & Oméga
|
Le truc que je fais jamais, donner mon numéro de tel....
|
|
10/11/2021, 10h29
|
|
Alpha & Oméga
|
Y a plus besoin du numéro de tel pour le 2fa, suffit d'avoir le compte gmail enregistré sur le smartphone ou la tablette, et tu reçois une notif avec des boutons "Oui c'est moi" ou "Non".
|
|
10/11/2021, 13h50
|
|
Citation :
Perso je préfère KeePass car LastPass est en ligne, le fichier KeePass tu peux le planquer un peu où tu veux et t'as pas de 2FA. Bon après, la faille c'est si on te vole le fichier et le pass, mais je pense que le risque est plus faible qu'avec un truc online, il me semble d'ailleurs que c'est une des raisons qui font que l'ANSI conseille KeePass plutôt que LastPass. |
|
10/11/2021, 14h19
|
|
Alpha & Oméga
|
Comment tu accèdes à tes mots de passe quand tu n'es pas chez toi ?
|
|
10/11/2021, 14h26
|
|
|
Citation :
Tu vas me dire que du coup, si tu le fous en ligne, autant avoir LastPass, mais tu peux lui donner un nom à la con et changer l'extension et le foutre sur un répertoire qui n'éveillera pas de soupçon si tu veux juste l'avoir en back up. Le soucis en faisant ça, c'est que si t'as plusieurs version du fichier Keepass dans différents endroits, ils ne seront pas synchronisés. En gros, tu perds beaucoup en ergonomie et en praticité pour améliorer la sécurité. |
|
10/11/2021, 14h33
|
|
Alpha & Oméga
|
Citation :
|
|
10/11/2021, 14h34
|
| Suivre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|