Topic: Problème de Google authentificator (Read 4552 times)

Pour ceux qui ne sont pas encore au courant, j'en profite pour rappeler que l'on peut désormais exporter ses clefs 2FA sur Google Authenticator

C'est un avantage du KYC en tout cas, même si tu perds tout, tu devrais pouvoir récupérer accès à tes comptes puisque les sites ont ton identité.

Pour ma part j'utilise un ancien smartphone pour GA (un petit et léger), et j'imprime les codes sur papier, bien planqués. Les logins/pass sont encore ailleurs.

Tu poses une question sur quelque chose qui c'est passé voilà 3 ans, les choses peuvent avoir bien changées depuis.
De plus le mec n'utilise plus le forum depuis très très longtemps. Je doute qu'il se reconnecte juste pour répondre à ta question.

Sinon, Kraken répond en général en moins de 24 heures, suivant la complexité du ticket. Dans ton cas tu peux imaginer que ce ne sera pas résolu dans la journée

Salut, j'ai le même problème que toi et je viens de contacter le support. Tu pourrais me dire combien de temps ça prend et quelles sont les questions ?

Ha ok, mais zut de zut, Paymium n'affiche aucun QRCode ni sous forme de "texte".
Je suis coincé. J'ai vu tout de même que l'on pouvait supprimer l'authentification à deux facteurs sur Paymium, c'est sans doute ce que je vais faire (avant de la réactiver, c'est peut-être a ce moment que le QRCode est affiché).

C'est le QR code affiché, et en général il est écrit en plus en dessous en version "texte" (une suite de chiffre et de lettre)

Tous les "client OTP" exige un "OTP Secret".
Quelqu'un sait-il où le trouver?

Celle-ci je la garde, merci au passage !

Peso je ne suis pas sous OS X donc ça va être difficile de tester (et bon faire confiance à des gens sur internet est pas forcément une bonne idée).
Mais j'ai quand même trouvé un client OTP pour toi en 30 sec :
-> https://itunes.apple.com/fr/app/otp-manager/id928941247?mt=12
-> http://www.stickybit.nl/apps/otpmanager.html
L'app est dispo sur le play store depuis un petit moment donc c'est plutot un bon point.

Après oui la sécurité, il faut savoir ce qu'on fait sinon en général on le fait mal ou pas complêtement


NB : si on utilise un client OTP sur la machine sur laquelle on se connecte il y a potentielement un risque : le but avec le 2FA/OTP est que ce second facteur soit sur un device différent que celui où tu rentres ton mot de passe !

Nan si ça se trouve ce programme n'est juste pas bon. On ne trouve pas que des bonnes choses en une minute de recherche sur google. Mais c'est pas moi qui ai besoin d'un client desktop. Or comme tu as dit que tu n'as rien trouvé  .
Les deux premiers sont faciles à comprendre. C'est juste le HOTP qui est bien retors comme il faut. Les autres c'est juste les initiales. OTP : mot de passe à usage unique, et boum, emballé c'est pesé. 10 secondes sur google. C'est pas pour faire ma mauvaise langue. Tout le monde n'a pas le réflexe d'utiliser google. Mais pour les questions de vocabulaire du style c'est souvent un bon réflexe à avoir. Récemment un de mes potes (Slovaque, avec qui je communique en anglais) m'a sorti "IDK" dans une conversation facebook. J'avais pas la moindre idée de ce que ça voulait dire mais un copié-collé rapide dans google m'a appris que c'était les initiales de I Don't Know.
Pour les programmes à installer sur son PC par contre il vaut mieux se donner le temps de se renseigner et de poser des questions, mais de ton aveu personnel, tu n'en avais pas trouvé donc voila, je t'en ai trouvé un sur lequel tu pouvais commencer à te renseigner (et comme ça m'a pris une minute je me suis permis de douter que tu aies cherché avant de poser la question, surtout après le coup de l'OTP  ).

 
Oui, j'ai également trouvé la théorie de la relativité en quelques seconde sur Internet...
Bon blague à part, c'est beaucoup de choses à appréhender juste pour une opération qui devrait être basique.

Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.
[/quote]

Voilà, "personne n'a déjà testé". À croire que tout le monde se fiche de sa propre sécurité.
(Par ailleurs, je suis sous MacOS mais cela me regarde)

Je suppose que tu ne te balades pas avec un portefeuille (€ ou BTC) sur toi alors ? Trop de risque de se faire racket !
Pareil pas de CB car on risquerait de t'escorter au distributeur et de te menacer pour récupérer ton code....

Pour ton histoire de mails etc.. c'est potentielement vrai mais ça l'est tout aussi (voir plus) si tu n'as pas de 2FA : encore une fois le 2FA est une mesure supplémentaire, ça n'enlève pas de sécurité (bon avec quelques réserves sur le 2FA par SMS mais c'est une autre histoire).

Dernier point.. un téléphone ça se protége aussi : si je te file mon téléphone sans le password tu n'auras pas d'accès à mes 2FA, ni à mes contacts, ni à mes email. De plus mon smartphone est chiffré donc même en le branchant sur un ordi tu ne pourras pas récupérer grand chose (et j'aurais eu le temps de changer mes password / reset certains trucs).

Après si tu ne veux vraiment pas utiliser ton smartphone et que tu as un autre ordi/tablette chez toi ça fonctionne aussi, je pense juste que d'avoir un smartphone dédié à ça est un peu overkill

J'aimerai être aussi serein que vous sur cette procédure 2FA sur smartphone.

Sans en faire des tonnes, en France il y a un vrai problème d'insécurité au quotidien : dans mon entourage proche il ne faut pas remonter à plus de 2 ans pour arriver à une dizaine de cas de racket/vol de smartphones... On pourrai croire que c'est un problème de lieu de résidence, mais quand j'interroge autour de moi, que ce soit en région parisienne, en province ou même à la campagne, ce sont les mêmes témoignages.
Encore pire, quand vous allez déposer plainte à la police, non seulement celle-ci vous explique que vous ne retrouverez jamais votre portable, mais que cette plainte ne sert à rien à part faire faire de la paperasse à l'OPJ : au final, la foi suivante, vous n'allez même plus porter plainte. J'ai même eu le cas d'un policier qui lors de ce dépot de plaintes, m'a expliqué qu'il s'est fait agressé dans son propre bureau : je ne sais plus combien de fractures et de journées d'ITT et le coupable était en liberté dès la fin de sa garde à vue.... le juge en ayant décidé ainsi.

Pour ce qui est de la sécurité intrinsèque au smartphone, il faut voire bien au-delà du 2FA et élargir à tout le smartphone. Combien d'entre nous ont des infos personnelles sur leur smartphone qui permettent de réinitialiser non seulement les logins/password des comptes sur les exchanges mais aussi les clés 2FA ? Vous voulez la réponse ? Je pense que c'est le cas de chacun d'entre nous. Vous accédez à vos courriels depuis votre smartphone ? Le voleur pourra réinitialiser votre login/password sur vos exchanges. Votre répertoire, votre compte FaceBook ou autre réseau social comprends des données personnelles comme votre date de naissance, votre adresse, les prénoms de votre femme, de vos enfants : c'est autant d'informations personnelles qui permettront au voleur de demander à votre exchange de réinitialiser vos clé 2FA à son profit. En fait ces smartphones et les informations qu'ils contiennent ou auxquelles elles permettent d'accéder sont certainement les pires outils de sécurité.

Donc, la sécurité du 2FA sur smartphone, franchement je suis loin d'être convaincu et je suis en pleine réflexion pour trouver une solution.

Avec seulement ton téléphone on  ne peut pas se connecter sur ton compte, c'est justement le principe.
Si tu ne te connectes pas depuis ton téléphone directement il y a vraiment pas d'intéret de prendre un second téléphone dédié : ta clé OTP ne te sert à rien sans ton login / mot de passe, c'est uniquement une sécurité en plus !
Pour ce qui est du transfert entre les téléphone, comme dit plus haut si tu prends tes précautions (ie noter le code sur un papier) tu pourras restaurer tes clés sur n'importe quel device en .10 sec

PS / rappel, il n'y a pas que Google qui fait des clients OTP donc si tu n'as pas confiance dans Google tu peux utiliser un autre software (par ex j'utilise FreeOTP qui est open source et dispo sur f-droid)

Trouvé sur google en quelques secondes :
OTP : One-Time Password
TOTP : Time-Based One-Time Password
HOTP : HMAC-based one-time password. Aucune idée de ce qu'est HMAC ? Moi non plus mais la réponse doit sûrement se trouver là : https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm. Par contre il y a du jargon, sur celui-là.
Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.
Je ne pense pas que ça soit tant un probème que ça. Avec juste ton OTP personne ne peut accéder à ton compte. C'est ça le principe : il faut l'OTP et le mot de passe. Si on te vole ton smartphone et que tu as gardé ta clé privée (autre part que sur ton smartphone, duh) tu peux réinitialiser tes codes. Une fois que tu as fait ça et puis que tu as accédé au site protégé par l'OTP tu peux même demander de nouvelles clefs privées si ça peut te faire dormir plus tranquile par rapport au voleur mais je ne pense pas que ça soit nécessaire ni même que ça change quoi que ce soit : logiquement ça doit être prévu de telle façon que quand tu réinitialise tes clefs privées sur un nouveau smartphone les codes ne s'affichent plus sur l'ancien. Enfin ça me semblerait normal.
Il n'y a donc aucune insécurité à ce niveau. C'est juste chiant si on te vole ton smartphone. Mais se faire voler son smartphone est déjà chiant de base. Et puis on ne te vole sûrement pas ton smartphone tous les jours de toute façon donc bon te faire chier 10 minutes à réinitialiser tes codes au cas où cá arrive c'est pas la mort.
L'OTP n'est certainement pas parfait, mais craindre de se faire voler ses accès en se faisant voler son téléphone c'est comme craindre de se faire voler ses bitcoins en se faisant voler son PC (ou les perdre s'il flanche tout simplement du jour au lendemain, ce qui est bien plus courant) : ça serait quand même une sacré erreur de design de la part de concepteurs. Non ça ne marche pas comme ça. Les concepteurs ont pensé à ça. Il n'y a aucun risque de vol et pour récupérer ses accès il suffit juste de prendre un peu de précautions. Surtout avec son portefeuille de bitcoins, cela dit, parce qu'en ce qui concerne l'OTP sur les exchanges etc, tes clefs privées sont connues du site qui te les as données et ils en ont gardé une copie, donc ils peuvent sauver ton cul même si t'as complètement merdé comme camereye l'a fait.

salut j'ai eu le même soucis que toi...smartphone HS
Heureusement j'avais un Master code...je te conseille donc de le creer au plus vite c'est pas long à faire

Pour Authy je ne sais pas comment je vais faire 

A l'heure où se faire racketter son smartphone semble être une fatalité devant laquelle tout le monde baisse les bras, le Google Authentificator me pose problème.

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.

Je vais donc probablement prendre un second smartphone qui sera dédié à cela et qui n'aura même pas de carte SIM : je pense que le transfert des codes d'un smartphone à l'autre va être encore un beau moment de galère.... sans même parler du quid des traces laissées sur l'ancien smartphone : la suppression de Google authentificator enlève-t'elle profondément toute trace des clés ? Rien de moins sur avc Google et je ne serai pas surpris qu'un petit utilitaire de hacking puisse permettre l'accès à ces clés même après effacement, et je ne suis as parano, il suffit d'avoir un peu d'expérience en sécurité informatique.

Je viens de vérifier sur Paymium, il n'y a ni qrcode, ni code.


Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.
Je n'ai pas trouvé de clients desktop.

Enfin bref, c'est du google tout craché.

Je ne sais pas si Google Authentificator permet d'exporter sa conf  (j'utilise FreeOTP et dans tous les cas j'ai des bakcups de mes "codes", visiblement c'est possible avec Google Authentificator via google / en bidouillant via adb) mais pour info il est tout à fait possible d'avoir le même "compte" OTP sur plusieurs device (j'ai certains code sur mon tel, d'autre sur mon ordi, et certains sur les deux)

En supprimant le 2FA depuis l'ancien téléphone et en le réactivant avec le nouveau?

Je crois savoir que c'est la seule solution dans un cas comme celui-la.