Le Laboratoire

La double authentification chez google

Répondre
Partager Rechercher
Le 9 novembre, google va pour "ma sécurité", me forcer à activer la double authentification.

Je recevrais un SMS ou une notification push à chaque connection.
Bien que n'ayant pas activé la double authentification, j'en suis souvent victime puisque étant sous VPN, google ne reconnait jamais ma machine.


Je ne veux pas de la double authentification. C'est LA vulnérabilité majeure dans mon système de sécurité, je perds mon cellulaire ? Il brise ? Je change de numéro ? Je suis bloqué de TOUS les sites webs sans pouvoir avoir accès à aucun mot de passe

Pourquoi, parce que Lastpass a un système de fucking double authentification qui me renvoit à .... gmail.
Alors bien sur il y a les one time password en cas de problèmes. Des passwords de 30 caractères de long, qui doivent donc être stockés dans un fichier, en ligne évidement.

En gros, la double authentification risque de me locker, et me force à prendre des mesures non sécuritaires pour protéger mes accès.

C'est de la merde. Et je veux m'en débarrasser totalement.

Est-ce qu'il y a moyen ou je dois changer de fournisseur mail ?

Dernière modification par Zangdar MortPartout ; 02/11/2021 à 16h14.
J'avais opté pour la double authentification avec Google Authentificator pour quelques services. J'ai reset mon téléphone sans y penser et ça a bloqué mes accès. Ça a été la croix et la bannière pour tout récupérer. Il y en a même qui m'ont facturé.

Pour le compte Google, tu peux ajouter un 2e numéro de téléphone pour l'authentification au cas où tu perds ton téléphone...
J'ai l'impression que vous vous torturez pour pas grand chose.

J'ai activé la double authentification de bien longtemps. Le téléphone ne m'envoie pas de sms mais un message me demandant si c'est moi qui vient de me connecter. Un simple oui et je passe définitivement. Si tu es derrière un VPN, il te posera la question tout le temps mais bon en soit, c'est gênant.

En cas de téléphone indisponible, tu peux toujours passer un mail (par thunderbird et un mot de passe définitif qui ne bloque pas l'authentification).

Le truc, c'est qu'il devient plus difficile de se faire pirater ton compte.

Les doubles authentifications, j'en ai partout.

J'ai changé de téléphone récemment et à part quelques exemples bien particulier, cela ne m'a jamais posé de problème avec les doubles authentifications.
Je t'aurai bien dit une clef Titan ou Yubico avec NFC, mais ça ne ferait que déplacer le soucis, au lieu d'avoir besoin de ton smartphone sur toi, t'aura besoin de la clef,
Citation :
Publié par odyssee
J'avais opté pour la double authentification avec Google Authentificator pour quelques services. J'ai reset mon téléphone sans y penser et ça a bloqué mes accès. Ça a été la croix et la bannière pour tout récupérer. Il y en a même qui m'ont facturé.

Pour le compte Google, tu peux ajouter un 2e numéro de téléphone pour l'authentification au cas où tu perds ton téléphone...
En fait je crois que c'est la grosse erreur que j'ai faite, passer à un android. Depuis je ne récupère plus un SMS mais une notification push. Demain mon cellulaire prend l'eau et je dois le remplacer, mes comptes sont morts.

S'il n'y a pas moyen de forcer google à désactiver cette faille de sécurité béante, il y a peut être d'autres fournisseurs d'emails qui n'imposent pas la DA ?


Sinon ben ... je vais devoir exporter mes mots de passe dans une feuille excel \o/
Citation :
Publié par Zangdar MortPartout
En fait je crois que c'est la grosse erreur que j'ai faite, passer à un android. Depuis je ne récupère plus un SMS mais une notification push. Demain mon cellulaire prend l'eau et je dois le remplacer, mes comptes sont morts.

S'il n'y a pas moyen de forcer google à désactiver cette faille de sécurité béante, il y a peut être d'autres fournisseurs d'emails qui n'imposent pas la DA ?


Sinon ben ... je vais devoir exporter mes mots de passe dans une feuille excel \o/
Rien du tout, ce n'est pas une application avec des données, c'est lié à ton numéro de téléphone. Donc tu changes de téléphone, ça change rien. C'est plus compliqué pour google auth mais il me semble qu'il y a moyen aussi de le récupérer donc non tes comptes sont pas morts mais il serait judicieux de faire une sauvegarde de ton téléphone de temps à autre. (le minimum quoi...)

Et il n'y aucune faille de sécurité là dedans, c'est justement pour éviter les failles.

Sinon tu peux aussi utiliser un coffre-fort à mort de passe style Keepass. C'est pas comme des solutions n'existaient pas....
J'utilise la double authentification sur la plupart de mes comptes (via une App similaire à Google Authentificator), et la totalité des sites propose de télécharger et/ou imprimer 10 codes de secours.
Et comme dit au dessus, une simple sauvegarde du téléphone règle la "faille".

En ce qui concerne la nécessité d'avoir son téléphone, ca concerne seulement les machines à l'extérieur, je déclare mes machines comme de confiance donc on ne demande pas le second code.
Citation :
Publié par Gratiano
Rien du tout, ce n'est pas une application avec des données, c'est lié à ton numéro de téléphone. Donc tu changes de téléphone, ça change rien. C'est plus compliqué pour google auth mais il me semble qu'il y a moyen aussi de le récupérer donc non tes comptes sont pas morts mais il serait judicieux de faire une sauvegarde de ton téléphone de temps à autre. (le minimum quoi...)

Et il n'y aucune faille de sécurité là dedans, c'est justement pour éviter les failles.

Sinon tu peux aussi utiliser un coffre-fort à mort de passe style Keepass. C'est pas comme des solutions n'existaient pas....
Si tu avais lu mon post tu saurais que j'utilise LastPass et que LastPass me doubleAuth a google.
Si ta réponse à mon topic c'est : "tu n'as pas de problèmes" garde ton énergie, ça ne m'intéresse pas.


Citation :
J'utilise la double authentification sur la plupart de mes comptes (via une App similaire à Google Authentificator), et la totalité des sites propose de télécharger et/ou imprimer 10 codes de secours.
Et comme dit au dessus, une simple sauvegarde du téléphone règle la "faille".

En ce qui concerne la nécessité d'avoir son téléphone, ca concerne seulement les machines à l'extérieur, je déclare mes machines comme de confiance donc on ne demande pas le second code.
J'utilise un VPN et je clean tous mes cookies, donc "une machine de confiance" ça n'existe pas chez moi.
Et imprimer des codes de secours, c'est basiquement donner accès à un quidam à l'ensemble de mes comptes.

C'est ce que je dis plus haut, cette "mesure de sécurité" est en fait une faille géante. Soit elle te met à risque de perdre tes accès, soit tu es obligé de les fragiliser en stockant des codes quelques part.

Mes mots de passe font chacun 30 caractères de long, je n'en ai qu'un seul à retenir. Ils sont impossibles à craquer la seule façon est de les intercepter. Mais je suis obligé de dealer avec cette connerie qui me met à risque.

La seule solution qui m'intéresse est une façon de opt-out définitivement de la double authentification, si c'est pour me proposer autre chose, ce n'est pas une solution pour moi et ça ne m'intéresse pas.
Non imprimer les codes ne donnent accès qu'à la personne qui sait à quoi ils correspondent, qui connait ton nom d'utilisateur et ton mot de passe.

Ce genre de sécurité existe pour les piratages à distance (comme la plupart, si quelqu'un a un accès physique, y'a pas grand chose qui peut résister).

Par contre utiliser un VPN c'est basiquement donner à des inconnus tout ton traffic.

Et non je n'apporte pas de solution, puisque ca va devenir obligatoire, à part te donner des pistes pour t'aider, ou te dire de changer de service, t'auras rien d'autre.
Citation :
Publié par Zangdar MortPartout
Si tu avais lu mon post tu saurais que j'utilise LastPass et que LastPass me doubleAuth a google.
Si ta réponse à mon topic c'est : "tu n'as pas de problèmes" garde ton énergie, ça ne m'intéresse pas.
Alors déjà, tu baisses d'un ton.

Ensuite des solutions, on t'en a donné (cf. Thunderbird ou d'autres clients qui enregistrent les mots de passes). Ensuite, utiliser un VPN, c'est un peu se tirer une balle dans le pied surtout que dans une majorité d'utilisation, tu n'en as tout simplement pas besoin.

Et ensuite non, il n'y a pas de failles. C'est toi qui fait des choix à la con et qui ne prend pas les dispositions minimum pour éviter ce genre de conneries.

Si tu espère une solution miracle, il n'y en a pas.

Commence déjà par sauvegarder ton téléphone, récupérer les codes de secours ou de récupération.

La double authentification de google t'emmerde à cause de ton VPN (là encore un choix que tu fais).

Tu confonds sécurité et paranoïa.
Une fois que tu auras activé la DA via la telephone, tu auras le choix de passer a une DA par TOTP, qui te permettra d'avoir un backup de tes seed TOTP / de te servir d'outils en CLI pour gerer ta DA.

Dans tous les cas, tu auras un truc a backup par contre, que ca soit des OTP avec la solution native google, ou les seeds du TOTP.

J'imagine que ce choix n'est pas dispo avant pour permettre a Google de recuperer ton numéro de telephone.

Dernière modification par -------------------------------------------------- ; 03/11/2021 à 17h04.
Citation :
Publié par Zangdar MortPartout
La seule solution qui m'intéresse est une façon de opt-out définitivement de la double authentification, si c'est pour me proposer autre chose, ce n'est pas une solution pour moi et ça ne m'intéresse pas.
Si tu tapes dans un moteur de recherche "désactiver la double authentification google" tu vas obtenir en réponse un lien vers la page qui t'explique comment la désactiver.

PC:
1 Accédez à votre compte Google.
2 Dans la section "Sécurité", sélectionnez Validation en deux étapes. Pour cela, vous devrez peut-être vous connecter.
3 Sélectionnez Désactiver.
4 Une fenêtre pop-up s'ouvre et vous invite à confirmer la désactivation de la validation en deux étapes. Sélectionnez Désactiver.


Android:
1 Sur votre téléphone ou votre tablette Android, ouvrez l'application Paramètres puis Google puis Gérer votre compte Google.
2 En haut de l'écran, appuyez sur Sécurité.
3 Sous "Se connecter à Google", appuyez sur Validation en deux étapes. Pour cela, vous devrez peut-être vous connecter.
4 Appuyez sur Désactiver.
5 Confirmez l'opération en appuyant sur Désactiver.


Je ne vois pas ou est le problème en fait.
Mwouais.
Du coup c'est impossible de refuser. Ou alors faut juste faire une croix sur le compte Google (ce qui ne serait pas forcément une mauvaise idée).

A la rigueur tu peux contourner le problème en mettant ton compte Google sur un vieux téléphone avec un forfait à 1€ genre LaPoste qui ne te servira à rien d'autre qu'a valider les notifications en cas de pépin.


@Zangdar Pourquoi tu ne laisse juste pas tomber ton compte Google ?
Vu comme tu as l'air précautionneux, je suppose que tu n'utilises pas leur mail, que tu ne stockes pas de documents, que tu ne te sers pas de leur GPS, et que tu n'est pas loggé quand tu recherches des trucs sur internet. Donc pourquoi tu voudrais un compte Google en fait ? Tout serait plus simple si tu n'étais pas connecté du tout.
Citation :
Publié par Oulanbator
@Zangdar Pourquoi tu ne laisse juste pas tomber ton compte Google ?
Vu comme tu as l'air précautionneux, je suppose que tu n'utilises pas leur mail, que tu ne stockes pas de documents, que tu ne te sers pas de leur GPS, et que tu n'est pas loggé quand tu recherches des trucs sur internet. Donc pourquoi tu voudrais un compte Google en fait ? Tout serait plus simple si tu n'étais pas connecté du tout.
Il a peut être un smartphone android ?

Après, on peut imaginer creer un fake compte android à chaque new tel en mode osef. Mais bon...
tu as des solutions physiques sinon (clé Titan). Ca pourrait plus te convenir. : https://www.frandroid.com/marques/go...-vie-numerique
https://store.google.com/product/tit...rity_key?hl=fr

J'avais étudié vite fait le truc il y a 2 ans mais j'ai pas sauté le pas.
J'utilise l'authenticator google sur mon smartphone mais c'est vrai qu'en cas de perte du tel ca risque d'être galère...

La double authentification de manière générale c'est vraiment indispensable. Les mdp même forts, ça offre une protection minimale. Un code à 4 chiffres + token c'est quasi inviolable.
j'avais vu passer une étude sur les failles de sécurité qui mettait en évidence que la longueur ou la complexité du mot de passe n'est pas déterminant dans la protection. C'est contre intuitif mais avec les divers moyens de hack, c'est pas suffisant.

Je pense que pour des raisons légales, de responsabilité, les sociétés comme Google forcent la double authentification et donc pas de possibilité de la désactiver.

Sinon cette solution ne peut pas convenir ? : https://support.logmeininc.com/fr/lastpass
Je savais pas qu'on pouvait l'intégrer dans Lastpass (j'utilise Keepass qui est moins user friendly)
Avec la solution donnée dans Lastpass, ca te permet de reconfig ton google auth sur ton nouveau tel en 2 sec.

Dernière modification par Xubfin ; 03/11/2021 à 19h44.
Tu as dû t'en rendre compte par toi même, mais tu peux désactiver le 2fa. Je viens de le faire sur le compte de ma femme pour qui ça a été activé ce matin.

En gros ils l'activent pour montrer aux utilisateurs que ça existe, mais n'obligent en rien à le conserver.
Y a plus besoin du numéro de tel pour le 2fa, suffit d'avoir le compte gmail enregistré sur le smartphone ou la tablette, et tu reçois une notif avec des boutons "Oui c'est moi" ou "Non".
Citation :
Publié par Zangdar MortPartout
Si tu avais lu mon post tu saurais que j'utilise LastPass et que LastPass me doubleAuth a google.
Si ta réponse à mon topic c'est : "tu n'as pas de problèmes" garde ton énergie, ça ne m'intéresse pas.
Bein pourquoi ne pas utiliser Keepass plutôt que LastPass ?
Perso je préfère KeePass car LastPass est en ligne, le fichier KeePass tu peux le planquer un peu où tu veux et t'as pas de 2FA. Bon après, la faille c'est si on te vole le fichier et le pass, mais je pense que le risque est plus faible qu'avec un truc online, il me semble d'ailleurs que c'est une des raisons qui font que l'ANSI conseille KeePass plutôt que LastPass.
Citation :
Publié par Zangdar MortPartout
Comment tu accèdes à tes mots de passe quand tu n'es pas chez toi ?
Tu peux copier un double du fichier de pass sur ton tel, ou bien le mettre en ligne.
Tu vas me dire que du coup, si tu le fous en ligne, autant avoir LastPass, mais tu peux lui donner un nom à la con et changer l'extension et le foutre sur un répertoire qui n'éveillera pas de soupçon si tu veux juste l'avoir en back up.
Le soucis en faisant ça, c'est que si t'as plusieurs version du fichier Keepass dans différents endroits, ils ne seront pas synchronisés. En gros, tu perds beaucoup en ergonomie et en praticité pour améliorer la sécurité.
Citation :
Publié par Zangdar MortPartout
Comment tu accèdes à tes mots de passe quand tu n'es pas chez toi ?
Personnellement, j'utilise Google Drive pour cela et keepass2android qui permet de lire le fichier mais pas de le modifier.

@Doudou_Spuiii: En utilisant Google Drive, tu es synchronisé.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés