Aegis Authenticator. Une Alternative a Google Auth et Authy

guigui371

legendary

Activity: 2114

Merit: 1693

C.D.P.E.M

Quote from: Saint-loup on November 04, 2019, 10:34:21 AM

Quote from: guigui371 on November 02, 2019, 10:49:43 PM

Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP.
Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins.

Et vu que mon password email et binance ne sont pas les meme, bonne chance.

1 service, 1 password, pas de reutilisation.

je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!)

(bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker)

Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique.

Comme l'a dis Asche, si le hacker connais mom email il peut demander a reset le mot de passe de Binance. Mais meme avec le nouveau mot de passe il lui faudra le 2FA de binance.
Pour desactiver le 2FA il faut mettre le 2FA et / ou prouver le KYC (photo de moi avec un nouveau timestamp + adresse IP que matche les precedentes connections).

Mais quand bien meme il connaisse mon email, et qu'il ait les deux mots de passe (protonmail), il faut aussi qu'il ait le 2FA (protonmail) et que je ne me rende pas compte qu'une nouvelle conenction depuis une IP inconnue ait eu lieu sur mon Binance.

Ca fait beaucoup.
Apres on n'est jamais a l'abris mais bon.

asche

legendary

Activity: 1484

Merit: 1489

I forgot more than you will ever know.

Quote from: Saint-loup on November 04, 2019, 10:34:21 AM

Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique.

Pour moi le 2FA ne se reset pas uniquement avec le mail. Il te faut re prouver ton identité.

Sinon kenza s'est fait hacker son Kraken, et à ce moment je crois que kraken n'avait pas encore rendu le 2FA obligatoire.

(en tout cas sur binance, reset 2FA = KYC la seule fois où j'ai testé).

Saint-loup

legendary

Activity: 2590

Merit: 2348

Quote from: guigui371 on November 02, 2019, 10:49:43 PM

Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP.
Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins.

Et vu que mon password email et binance ne sont pas les meme, bonne chance.

1 service, 1 password, pas de reutilisation.

je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!)

(bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker)

Attention quand même au faux sentiment de sécurité, car ce genre de mesure n'est pas forcément suffisante. Si l'attaquant possède le mdp de l'email, il n'a pas besoin de trouver le mdp de l'exchange pour y accéder. Il lui suffit de faire une demande de password reset par mail pour l'obtenir. C'est d'ailleurs semble-t-il ce qui est arrivé à Kenzawak. Le compte mail c'est hautement critique.

guigui371

legendary

Activity: 2114

Merit: 1693

C.D.P.E.M

Quote from: GrosWesh on November 02, 2019, 03:58:09 AM

Quote from: guigui371 on November 02, 2019, 12:31:58 AM

Quote from: GrosWesh on November 01, 2019, 06:47:37 PM

Tout ça reste vulnérable ~snip~

Pourquoi tu dis ca ?
Peux tu elaborer sur e fait que ce ne sois pas secure ?

Comme j'ai écrit au dessus, il existe des solutions pour contourner le 2fa. Les plus méfiants/mieux sécurisés ne tomberont pas dans le panneau mais le phishing reste possible. A contrario une clé hardware va communiquer directement avec le site qu'on souhaite visiter et si le nom de domaine n'est pas parfaitement reconnu, alors la communication échouera.

Ca ne date pas d'aujourd'hui et si on reste prudent le 2fa n'est pas si vulnérable non plus.

ah oui en effet les hacker ont des outils qui deviennent de plus en plus facile a utiliser et de plus en plus convainquant.

Bon apres c'est du phising, si on utilise des bookmark, ne clique pas sur des liens suspicieux / et ou tapent sois meme les addresse web ca permet deja de supprimer pas mal de menace phising.

Quote from: asche on November 02, 2019, 05:27:53 AM

Quote from: GrosWesh on November 02, 2019, 04:18:55 AM

Edit : si je ne m'abuse c'est aussi possible sur Binance
https://www.binance.com/en/blog/351376985820852224/You-Can-Now-Use-Hardware-Security-Keys-on-Binance

Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches.

Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge.

Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent.

Oui en effet, et par exemple Binance me bloque l'access a mon compte si je me connect depuis une nouvelle address IP.
Donc meme si il a le mot de passe, l'email et le 2fa il n'aura pas acces aux coins.

Et vu que mon password email et binance ne sont pas les meme, bonne chance.

1 service, 1 password, pas de reutilisation.

je m'arrache les cheveux a expliquer a ma femme que carambar56 n'est pas un bon password (elle l'utilise partout !!!)

(bon son password en vrais c'est pas carambar56 mais c'est vraiment pas plus complique que ca ... heureusement elle ne fais rien de crypto donc rien de vraiment mechant si elle se fait hacker)

asche

legendary

Activity: 1484

Merit: 1489

I forgot more than you will ever know.

Quote from: GrosWesh on November 02, 2019, 05:32:25 AM

Oui exact le 2fa n'est pas annoncé comme infaillible. Concernant la clé Titan sur Binance tu testera mais un tweet de juillet fait tout de même état de soucis de compatibilité sur Binance, cet exchange ayant quand même tendance à favoriser Yubikey

Alors premier essai avec la clé USB/NFC.

Clé reconnue, mais rien ne se passe quand j'appuie sur le bouton. Je vais tester si la clé est défectueuse ou si c'est bien un soucis de compatibilité binance.

La clé USB/bluetooth avec le bouton physique, aucun problème. Ajouté et reconnu immédiatement.

Je vais activer le U2F uniquement pour le withdrawal et le changement de mot de passe par contre, vu que je ne l'ai pas systématiquement avec moi, contrairement à Google Auth/Aegis.

GrosWesh

legendary

Activity: 2254

Merit: 1432

Quote from: asche on November 02, 2019, 05:27:53 AM

Quote from: GrosWesh on November 02, 2019, 04:18:55 AM

Edit : si je ne m'abuse c'est aussi possible sur Binance
https://www.binance.com/en/blog/351376985820852224/You-Can-Now-Use-Hardware-Security-Keys-on-Binance

Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches.

Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge.

Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent.

Oui exact le 2fa n'est pas annoncé comme infaillible. Concernant la clé Titan sur Binance tu testera mais un tweet de juillet fait tout de même état de soucis de compatibilité sur Binance, cet exchange ayant quand même tendance à favoriser Yubikey

asche

legendary

Activity: 1484

Merit: 1489

I forgot more than you will ever know.

Quote from: GrosWesh on November 02, 2019, 04:18:55 AM

Edit : si je ne m'abuse c'est aussi possible sur Binance
https://www.binance.com/en/blog/351376985820852224/You-Can-Now-Use-Hardware-Security-Keys-on-Binance

Ca c'est une grande nouvelle. Je ne m'en étais pas aperçu en aout quand j'avais fait mes recherches.

Sinon il faut quand même rappeler que bien que la 2fa n'est pas infaillible, ça reste beaucoup mieux que pas de 2fa, et que le phishing 2fa reste quand même à la marge.

Il faut vraiment que le code soit récupéré au bon moment, et que l'attaque soit réalisée dans les secondes qui suivent.

GrosWesh

legendary

Activity: 2254

Merit: 1432

Quote from: asche on November 02, 2019, 04:06:00 AM

Évidemment qu'une clé u2f c'est mieux, mais aucun n'échange n'offre ne compatibilité u2f.

Et en terme de 2fa ça reste plus sur que du SMS.

Sinon poste le lien je t'en prie. Ça permet de savoir de quoi se méfier.

ok, après tout ça casse pas trois pattes à un canard.

https://www.cyberpunk.rs/evilginx-phishing-examples-v2-x-linkedin-facebook-custom

Concernant les exchanges, il semblerait qu'au moins Bitfinex supporte le u2f.
https://www.bitfinex.com/legal/security_policy
https://support.bitfinex.com/hc/en-us/articles/115003616589-Universal-2nd-Factor-U2F-2FA-Setup

Edit : si je ne m'abuse c'est aussi possible sur Binance
https://www.binance.com/en/blog/351376985820852224/You-Can-Now-Use-Hardware-Security-Keys-on-Binance

asche

legendary

Activity: 1484

Merit: 1489

I forgot more than you will ever know.

Évidemment qu'une clé u2f c'est mieux, mais aucun n'échange n'offre ne compatibilité u2f.

Et en terme de 2fa ça reste plus sur que du SMS.

Sinon poste le lien je t'en prie. Ça permet de savoir de quoi se méfier.

GrosWesh

legendary

Activity: 2254

Merit: 1432

Quote from: guigui371 on November 02, 2019, 12:31:58 AM

Quote from: GrosWesh on November 01, 2019, 06:47:37 PM

Tout ça reste vulnérable ~snip~

Pourquoi tu dis ca ?
Peux tu elaborer sur e fait que ce ne sois pas secure ?

Comme j'ai écrit au dessus, il existe des solutions pour contourner le 2fa. Les plus méfiants/mieux sécurisés ne tomberont pas dans le panneau mais le phishing reste possible. A contrario une clé hardware va communiquer directement avec le site qu'on souhaite visiter et si le nom de domaine n'est pas parfaitement reconnu, alors la communication échouera.

Ca ne date pas d'aujourd'hui et si on reste prudent le 2fa n'est pas si vulnérable non plus.

guigui371

legendary

Activity: 2114

Merit: 1693

C.D.P.E.M

Quote from: asche on November 01, 2019, 02:13:27 PM

~snip~

MErci, pour le coup c'est pas mal comme solution.
J'aime le fait que tu puisse sauvegarder le fichier en local.

Je n'ai jamais voulu aller vers AUTHY car c'est pas impossible que si quelqu'un fait un SIM-SWAP alors il puisse acceder aux 2fa code.

Depuis qui j'ai google authetificator, j'ai 2 telephone (et me le code sur chaque) et je garde aussi la masterkey sur un disque dure encrypte.

Quote from: GrosWesh on November 01, 2019, 06:47:37 PM

Tout ça reste vulnérable ~snip~

Pourquoi tu dis ca ?
Peux tu elaborer sur e fait que ce ne sois pas secure ?

GrosWesh

legendary

Activity: 2254

Merit: 1432

Tout ça reste vulnérable et il est préférable d'utiliser une clé U2f comme par exemple celle que tu avais présenté dans ton sujet (https://bitcointalksearch.org/topic/m.52120163).

Je suis tombé encore tout à l'heure sur la page de présentation d'un produit 'clé en main' permettant de mettre en place des systèmes de phishing capables d'outre passer le 2fa Roll Eyes

Je ne pense pas qu'il soit judicieux d'en poster le lien ici mais c'est édifiant.

asche

legendary

Activity: 1484

Merit: 1489

I forgot more than you will ever know.

Avantages par rapport a Google Authenticator

UI moderne
Open source
Backup local (.json)
Chiffrage AES-256, verrouillage par mot de passe
Permet d'extraire les clés de Google Authenticator sur téléphone rooté

Désavantage :

Uniquement dispo sur Android. Pour iOS on préférera FreeOTP. (aussi Open Source)

Site web : https://beem.dev/
GitHub : https://github.com/beemdevelopment/Aegis
Google PlayStore : http://play.google.com/store/apps/details?id=com.beemdevelopment.aegis
F-Droid : https://f-droid.org/en/packages/com.beemdevelopment.aegis

Pourquoi pas Authy ?
Authy sauvegarde les clés privées des codes de 2FA sur leurs serveurs. Il y a donc toujours un risque supplémentaire. Donc si ça ne te plait pas d'avoir tes données stockées par une entreprise tierce, Aegis est intéressant.

Trouvé par :

Quote from: mk4 on October 15, 2019, 12:50:00 AM

Topic: Aegis Authenticator. Une Alternative a Google Auth et Authy (Read 201 times)