Pages:
Author

Topic: Problème de Google authentificator (Read 4561 times)

legendary
Activity: 2604
Merit: 2353
August 19, 2020, 02:13:17 AM
#29
Pour ceux qui ne sont pas encore au courant, j'en profite pour rappeler que l'on peut désormais exporter ses clefs 2FA sur Google Authenticator

Je ne sais pas si vous avez vu mais une mise à jour de Google Authenticator est sortie il y a quelques jours
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

Elle permet enfin à Authenticator d'exporter ses codes !

L'appli génère un QR code (ou plusieurs si il y a beaucoup de codes à exporter) qu'il faut scanner avec l'appareil vers lequel on désire importer ses codes.

Ce gif animé montre la manipulation :
https://www.androidpolice.com/wp-content/uploads/2020/05/authenticator.gif

J'ai bien évidemment essayé de décoder les QR codes avec le logiciel ZBar (ne pas le faire avec un site internet en ligne)
Mais j'obtiens otpauth-migration://offline?data= et une chaine chiffrée(ou compressée) à la suite (entrecoupée de %2F et de %2B)


Cependant ça peut certainement être utile de conserver ces QR codes en lieu sûr pour pouvoir les réimporter facilement en cas de panne de l'appareil,de bug ou d'effacement inopiné de l'appli...
hero member
Activity: 2604
Merit: 961
fly or die
August 19, 2020, 12:15:16 AM
#28
C'est un avantage du KYC en tout cas, même si tu perds tout, tu devrais pouvoir récupérer accès à tes comptes puisque les sites ont ton identité.

Pour ma part j'utilise un ancien smartphone pour GA (un petit et léger), et j'imprime les codes sur papier, bien planqués. Les logins/pass sont encore ailleurs.
copper member
Activity: 2940
Merit: 4101
Top Crypto Casino
July 13, 2020, 12:59:48 PM
#27
Update :

C'est bon, j'ai récupéré le contrôle de mes comptes :

- coinbase : il a suffit d'une réinitialisation d'Authy.

- kraken : j'ai dû contacter le support et répondre à quelques questions. Ils m'ont désactivé ensuite le google 2FA. J'ai pu reconfigurer mon google authentificator.

Morale de l'histoire : bien penser à sauvegarder le code de récupération master key pour chaque compte !
Salut, j'ai le même problème que toi et je viens de contacter le support. Tu pourrais me dire combien de temps ça prend et quelles sont les questions ?

Tu poses une question sur quelque chose qui c'est passé voilà 3 ans, les choses peuvent avoir bien changées depuis.
De plus le mec n'utilise plus le forum depuis très très longtemps. Je doute qu'il se reconnecte juste pour répondre à ta question.

Sinon, Kraken répond en général en moins de 24 heures, suivant la complexité du ticket. Dans ton cas tu peux imaginer que ce ne sera pas résolu dans la journée
newbie
Activity: 1
Merit: 0
July 13, 2020, 11:56:28 AM
#26
Update :

C'est bon, j'ai récupéré le contrôle de mes comptes :

- coinbase : il a suffit d'une réinitialisation d'Authy.

- kraken : j'ai dû contacter le support et répondre à quelques questions. Ils m'ont désactivé ensuite le google 2FA. J'ai pu reconfigurer mon google authentificator.

Morale de l'histoire : bien penser à sauvegarder le code de récupération master key pour chaque compte !
Salut, j'ai le même problème que toi et je viens de contacter le support. Tu pourrais me dire combien de temps ça prend et quelles sont les questions ?
legendary
Activity: 3220
Merit: 1197
April 10, 2017, 12:03:35 PM
#25
Ha ok, mais zut de zut, Paymium n'affiche aucun QRCode ni sous forme de "texte".
Je suis coincé. J'ai vu tout de même que l'on pouvait supprimer l'authentification à deux facteurs sur Paymium, c'est sans doute ce que je vais faire (avant de la réactiver, c'est peut-être a ce moment que le QRCode est affiché).
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
April 10, 2017, 05:42:55 AM
#24
C'est le QR code affiché, et en général il est écrit en plus en dessous en version "texte" (une suite de chiffre et de lettre)
legendary
Activity: 3220
Merit: 1197
April 10, 2017, 05:25:29 AM
#23
Tous les "client OTP" exige un "OTP Secret".
Quelqu'un sait-il où le trouver?
hero member
Activity: 1022
Merit: 725
April 08, 2017, 05:03:40 PM
#22
Oui, j'ai également trouvé la théorie de la relativité en quelques seconde sur Internet...

Celle-ci je la garde, merci au passage ! Wink
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
February 19, 2017, 01:05:13 PM
#21
Voilà, "personne n'a déjà testé". À croire que tout le monde se fiche de sa propre sécurité.
(Par ailleurs, je suis sous MacOS mais cela me regarde)
Peso je ne suis pas sous OS X donc ça va être difficile de tester (et bon faire confiance à des gens sur internet est pas forcément une bonne idée).
Mais j'ai quand même trouvé un client OTP pour toi en 30 sec :
-> https://itunes.apple.com/fr/app/otp-manager/id928941247?mt=12
-> http://www.stickybit.nl/apps/otpmanager.html
L'app est dispo sur le play store depuis un petit moment donc c'est plutot un bon point.

Après oui la sécurité, il faut savoir ce qu'on fait sinon en général on le fait mal ou pas complêtement


NB : si on utilise un client OTP sur la machine sur laquelle on se connecte il y a potentielement un risque : le but avec le 2FA/OTP est que ce second facteur soit sur un device différent que celui où tu rentres ton mot de passe !
hero member
Activity: 2016
Merit: 721
February 19, 2017, 12:22:14 PM
#20
Nan si ça se trouve ce programme n'est juste pas bon. On ne trouve pas que des bonnes choses en une minute de recherche sur google. Mais c'est pas moi qui ai besoin d'un client desktop. Or comme tu as dit que tu n'as rien trouvé  Grin.
Quote
Bon blague à part, c'est beaucoup de choses à appréhender juste pour une opération qui devrait être basique.
Les deux premiers sont faciles à comprendre. C'est juste le HOTP qui est bien retors comme il faut. Les autres c'est juste les initiales. OTP : mot de passe à usage unique, et boum, emballé c'est pesé. 10 secondes sur google. C'est pas pour faire ma mauvaise langue. Tout le monde n'a pas le réflexe d'utiliser google. Mais pour les questions de vocabulaire du style c'est souvent un bon réflexe à avoir. Récemment un de mes potes (Slovaque, avec qui je communique en anglais) m'a sorti "IDK" dans une conversation facebook. J'avais pas la moindre idée de ce que ça voulait dire mais un copié-collé rapide dans google m'a appris que c'était les initiales de I Don't Know.
Pour les programmes à installer sur son PC par contre il vaut mieux se donner le temps de se renseigner et de poser des questions, mais de ton aveu personnel, tu n'en avais pas trouvé donc voila, je t'en ai trouvé un sur lequel tu pouvais commencer à te renseigner (et comme ça m'a pris une minute je me suis permis de douter que tu aies cherché avant de poser la question, surtout après le coup de l'OTP  Wink).
legendary
Activity: 3220
Merit: 1197
February 19, 2017, 11:31:18 AM
#19
Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.
Trouvé sur google en quelques secondes :

 Roll Eyes
Oui, j'ai également trouvé la théorie de la relativité en quelques seconde sur Internet...
Bon blague à part, c'est beaucoup de choses à appréhender juste pour une opération qui devrait être basique.

Je n'ai pas trouvé de clients desktop.
Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.
[/quote]

Voilà, "personne n'a déjà testé". À croire que tout le monde se fiche de sa propre sécurité.
(Par ailleurs, je suis sous MacOS mais cela me regarde)
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
February 19, 2017, 09:55:19 AM
#18
Je suppose que tu ne te balades pas avec un portefeuille (€ ou BTC) sur toi alors ? Trop de risque de se faire racket !
Pareil pas de CB car on risquerait de t'escorter au distributeur et de te menacer pour récupérer ton code....

Pour ton histoire de mails etc.. c'est potentielement vrai mais ça l'est tout aussi (voir plus) si tu n'as pas de 2FA : encore une fois le 2FA est une mesure supplémentaire, ça n'enlève pas de sécurité (bon avec quelques réserves sur le 2FA par SMS mais c'est une autre histoire).

Dernier point.. un téléphone ça se protége aussi : si je te file mon téléphone sans le password tu n'auras pas d'accès à mes 2FA, ni à mes contacts, ni à mes email. De plus mon smartphone est chiffré donc même en le branchant sur un ordi tu ne pourras pas récupérer grand chose (et j'aurais eu le temps de changer mes password / reset certains trucs).

Après si tu ne veux vraiment pas utiliser ton smartphone et que tu as un autre ordi/tablette chez toi ça fonctionne aussi, je pense juste que d'avoir un smartphone dédié à ça est un peu overkill
legendary
Activity: 1260
Merit: 1046
February 19, 2017, 08:26:10 AM
#17
J'aimerai être aussi serein que vous sur cette procédure 2FA sur smartphone.

Sans en faire des tonnes, en France il y a un vrai problème d'insécurité au quotidien : dans mon entourage proche il ne faut pas remonter à plus de 2 ans pour arriver à une dizaine de cas de racket/vol de smartphones... On pourrai croire que c'est un problème de lieu de résidence, mais quand j'interroge autour de moi, que ce soit en région parisienne, en province ou même à la campagne, ce sont les mêmes témoignages.
Encore pire, quand vous allez déposer plainte à la police, non seulement celle-ci vous explique que vous ne retrouverez jamais votre portable, mais que cette plainte ne sert à rien à part faire faire de la paperasse à l'OPJ : au final, la foi suivante, vous n'allez même plus porter plainte. J'ai même eu le cas d'un policier qui lors de ce dépot de plaintes, m'a expliqué qu'il s'est fait agressé dans son propre bureau : je ne sais plus combien de fractures et de journées d'ITT et le coupable était en liberté dès la fin de sa garde à vue.... le juge en ayant décidé ainsi.

Pour ce qui est de la sécurité intrinsèque au smartphone, il faut voire bien au-delà du 2FA et élargir à tout le smartphone. Combien d'entre nous ont des infos personnelles sur leur smartphone qui permettent de réinitialiser non seulement les logins/password des comptes sur les exchanges mais aussi les clés 2FA ? Vous voulez la réponse ? Je pense que c'est le cas de chacun d'entre nous. Vous accédez à vos courriels depuis votre smartphone ? Le voleur pourra réinitialiser votre login/password sur vos exchanges. Votre répertoire, votre compte FaceBook ou autre réseau social comprends des données personnelles comme votre date de naissance, votre adresse, les prénoms de votre femme, de vos enfants : c'est autant d'informations personnelles qui permettront au voleur de demander à votre exchange de réinitialiser vos clé 2FA à son profit. En fait ces smartphones et les informations qu'ils contiennent ou auxquelles elles permettent d'accéder sont certainement les pires outils de sécurité.

Donc, la sécurité du 2FA sur smartphone, franchement je suis loin d'être convaincu et je suis en pleine réflexion pour trouver une solution.
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
February 19, 2017, 07:32:26 AM
#16
Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.
Avec seulement ton téléphone on  ne peut pas se connecter sur ton compte, c'est justement le principe.
Je vais donc probablement prendre un second smartphone qui sera dédié à cela et qui n'aura même pas de carte SIM : je pense que le transfert des codes d'un smartphone à l'autre va être encore un beau moment de galère.... sans même parler du quid des traces laissées sur l'ancien smartphone : la suppression de Google authentificator enlève-t'elle profondément toute trace des clés ? Rien de moins sur avc Google et je ne serai pas surpris qu'un petit utilitaire de hacking puisse permettre l'accès à ces clés même après effacement, et je ne suis as parano, il suffit d'avoir un peu d'expérience en sécurité informatique.
Si tu ne te connectes pas depuis ton téléphone directement il y a vraiment pas d'intéret de prendre un second téléphone dédié : ta clé OTP ne te sert à rien sans ton login / mot de passe, c'est uniquement une sécurité en plus !
Pour ce qui est du transfert entre les téléphone, comme dit plus haut si tu prends tes précautions (ie noter le code sur un papier) tu pourras restaurer tes clés sur n'importe quel device en .10 sec

PS / rappel, il n'y a pas que Google qui fait des clients OTP donc si tu n'as pas confiance dans Google tu peux utiliser un autre software (par ex j'utilise FreeOTP qui est open source et dispo sur f-droid)
hero member
Activity: 2016
Merit: 721
February 19, 2017, 05:40:04 AM
#15
Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.
Trouvé sur google en quelques secondes :
OTP : One-Time Password
TOTP : Time-Based One-Time Password
HOTP : HMAC-based one-time password. Aucune idée de ce qu'est HMAC ? Moi non plus mais la réponse doit sûrement se trouver là : https://en.wikipedia.org/wiki/HMAC-based_One-time_Password_Algorithm. Par contre il y a du jargon, sur celui-là.
Je n'ai pas trouvé de clients desktop.
Trouvé sur google en une minute :
https://github.com/winauth/winauth
Jamais testé personnellement, par contre. Tu pourrais avoir envie de passer quelques minutes supplémentaires sur google pour récolter des infos complémentaires.
Quote
A l'heure où se faire racketter son smartphone semble être une fatalité devant laquelle tout le monde baisse les bras, le Google Authentificator me pose problème.

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.
Je ne pense pas que ça soit tant un probème que ça. Avec juste ton OTP personne ne peut accéder à ton compte. C'est ça le principe : il faut l'OTP et le mot de passe. Si on te vole ton smartphone et que tu as gardé ta clé privée (autre part que sur ton smartphone, duh) tu peux réinitialiser tes codes. Une fois que tu as fait ça et puis que tu as accédé au site protégé par l'OTP tu peux même demander de nouvelles clefs privées si ça peut te faire dormir plus tranquile par rapport au voleur mais je ne pense pas que ça soit nécessaire ni même que ça change quoi que ce soit : logiquement ça doit être prévu de telle façon que quand tu réinitialise tes clefs privées sur un nouveau smartphone les codes ne s'affichent plus sur l'ancien. Enfin ça me semblerait normal.
Il n'y a donc aucune insécurité à ce niveau. C'est juste chiant si on te vole ton smartphone. Mais se faire voler son smartphone est déjà chiant de base. Et puis on ne te vole sûrement pas ton smartphone tous les jours de toute façon donc bon te faire chier 10 minutes à réinitialiser tes codes au cas où cá arrive c'est pas la mort.
L'OTP n'est certainement pas parfait, mais craindre de se faire voler ses accès en se faisant voler son téléphone c'est comme craindre de se faire voler ses bitcoins en se faisant voler son PC (ou les perdre s'il flanche tout simplement du jour au lendemain, ce qui est bien plus courant) : ça serait quand même une sacré erreur de design de la part de concepteurs. Non ça ne marche pas comme ça. Les concepteurs ont pensé à ça. Il n'y a aucun risque de vol et pour récupérer ses accès il suffit juste de prendre un peu de précautions. Surtout avec son portefeuille de bitcoins, cela dit, parce qu'en ce qui concerne l'OTP sur les exchanges etc, tes clefs privées sont connues du site qui te les as données et ils en ont gardé une copie, donc ils peuvent sauver ton cul même si t'as complètement merdé comme camereye l'a fait.
hero member
Activity: 923
Merit: 534
February 19, 2017, 05:34:39 AM
#14
salut j'ai eu le même soucis que toi...smartphone HS
Heureusement j'avais un Master code...je te conseille donc de le creer au plus vite c'est pas long à faire

Pour Authy je ne sais pas comment je vais faire  Grin
legendary
Activity: 1260
Merit: 1046
February 19, 2017, 05:18:43 AM
#13
A l'heure où se faire racketter son smartphone semble être une fatalité devant laquelle tout le monde baisse les bras, le Google Authentificator me pose problème.

Autant le principe de 2FA semble apporter un plus au niveau sécurité (et des contraintes), autant, au moins dans mon cas, je n'ai aucune utilité que ce second facteur d'authentification soit toujours sur moi dans mon smartphone. C'est au contraire un facteur d'insécurité en cas de vol du smartphone.

Je vais donc probablement prendre un second smartphone qui sera dédié à cela et qui n'aura même pas de carte SIM : je pense que le transfert des codes d'un smartphone à l'autre va être encore un beau moment de galère.... sans même parler du quid des traces laissées sur l'ancien smartphone : la suppression de Google authentificator enlève-t'elle profondément toute trace des clés ? Rien de moins sur avc Google et je ne serai pas surpris qu'un petit utilitaire de hacking puisse permettre l'accès à ces clés même après effacement, et je ne suis as parano, il suffit d'avoir un peu d'expérience en sécurité informatique.
legendary
Activity: 3220
Merit: 1197
February 18, 2017, 05:16:16 AM
#12
Quand un site te permet de configurer du 2FA/OTP il t'affiche souvent un qrcode à scanner avec ton téléphone mais aussi un code à coté qui contient les même infos (en gros de quoi configurer un client OTP).
Il te suffit donc de noter ce code (ou de garder une copie du QRCode, ça revient au même) pour pouvoir reconfigurer un google authentificator sur un autre téléphone.
Si tu n'as pas ce code il faudra voir avec le support du site en question pour le désactiver/modifier (c'est ce qu'à du faire camereye)

Je viens de vérifier sur Paymium, il n'y a ni qrcode, ni code.


Pour finir Google Authenticator n'est qu'un client OTP (TOTP & HOTP) parmi d'autres, il y a par exemple FreeOTP sur Android qui fait exactement la même chose ( https://f-droid.org/repository/browse/?fdid=org.fedorahosted.freeotp&fdpage=8&fdstyle=grid ) et c'est sur qu'il existe des clients sur desktop (je ne vais pas en cité car je n'en utilise pas).
Il y a même des client web pour de l'otp, ex http://gauth.apps.gbraad.nl/  (stockage en LocalStorage dans le browser)

Je trouve cela horriblement compliqué. Je ne sais pas ce que signifie TOTP, OTP et HOTP.
Je n'ai pas trouvé de clients desktop.

Enfin bref, c'est du google tout craché.
legendary
Activity: 1652
Merit: 1002
Bitcoin enthusiast!
February 15, 2017, 09:37:22 PM
#11
[...] y a pas un moyen de transférer les codes quand on a bien les deux téléphones encore fonctionnels?

En supprimant le 2FA depuis l'ancien téléphone et en le réactivant avec le nouveau?

Je crois savoir que c'est la seule solution dans un cas comme celui-la.
Je ne sais pas si Google Authentificator permet d'exporter sa conf  (j'utilise FreeOTP et dans tous les cas j'ai des bakcups de mes "codes", visiblement c'est possible avec Google Authentificator via google / en bidouillant via adb) mais pour info il est tout à fait possible d'avoir le même "compte" OTP sur plusieurs device (j'ai certains code sur mon tel, d'autre sur mon ordi, et certains sur les deux)
full member
Activity: 486
Merit: 101
February 15, 2017, 11:22:53 AM
#10
[...] y a pas un moyen de transférer les codes quand on a bien les deux téléphones encore fonctionnels?

En supprimant le 2FA depuis l'ancien téléphone et en le réactivant avec le nouveau?

Je crois savoir que c'est la seule solution dans un cas comme celui-la.
Pages:
Jump to: