WOW !
merci pour l'info !
Pour le coup ca complete pas mal ma procedure de sauvegarde des 2FA.
(je garde le 2FA passcode dans mon "lastpass")
merci
Topic: Téléphone HS - 2FA perdu - Compte Kraken inaccessible (Read 604 times)
Je ne sais pas si vous avez vu mais une mise à jour de Google Authenticator est sortie il y a quelques jours
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
Elle permet enfin à Authenticator d'exporter ses codes !
L'appli génère un QR code (ou plusieurs si il y a beaucoup de codes à exporter) qu'il faut scanner avec l'appareil vers lequel on désire importer ses codes.
Ce gif animé montre la manipulation :
https://www.androidpolice.com/wp-content/uploads/2020/05/authenticator.gif
J'ai bien évidemment essayé de décoder les QR codes avec le logiciel ZBar (ne pas le faire avec un site internet en ligne)
Mais j'obtiens otpauth-migration://offline?data= et une chaine chiffrée(ou compressée) à la suite (entrecoupée de %2F et de %2B)
Cependant ça peut certainement être utile de conserver ces QR codes en lieu sûr pour pouvoir les réimporter facilement en cas de panne de l'appareil,de bug ou d'effacement inopiné de l'appli...
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
Elle permet enfin à Authenticator d'exporter ses codes !
L'appli génère un QR code (ou plusieurs si il y a beaucoup de codes à exporter) qu'il faut scanner avec l'appareil vers lequel on désire importer ses codes.
Ce gif animé montre la manipulation :
https://www.androidpolice.com/wp-content/uploads/2020/05/authenticator.gif
J'ai bien évidemment essayé de décoder les QR codes avec le logiciel ZBar (ne pas le faire avec un site internet en ligne)
Mais j'obtiens otpauth-migration://offline?data= et une chaine chiffrée(ou compressée) à la suite (entrecoupée de %2F et de %2B)
Cependant ça peut certainement être utile de conserver ces QR codes en lieu sûr pour pouvoir les réimporter facilement en cas de panne de l'appareil,de bug ou d'effacement inopiné de l'appli...
Rooter un téléphone veut simplement dire que tu à accès aux droits "root", ou administrateur si tu veux un équivalent windows.
Cela signifie qu'une élévation de privilèges est possible.
Rooter ton tel ne te fais perdre aucune donnée.
En revanche pour rooter ton tel il te faudra souvent unlock ton bootloader, ce qui te fais effectivement formater ton téléphone.
Cela signifie qu'une élévation de privilèges est possible.
Rooter ton tel ne te fais perdre aucune donnée.
En revanche pour rooter ton tel il te faudra souvent unlock ton bootloader, ce qui te fais effectivement formater ton téléphone.
Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.
Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.
J'ai vérifié, en effet on peut récupérer les clés Google auth sur un téléphone rooté.
J'y connais rien en téléphone: j'imagine que "rooter" un téléphone signifie que l'on perd toutes les données. Si je perds mon téléphone non rooté, un malfaisant qui veut rooter mon tél, n'aura plus accès aux fichiers Google auth ?
Ça craint car certains se servent de leur téléphone pour accéder aux exchanges et peuvent avoir enregistrer leurs mots de passe.
Bah si tu arrives a récupérer les clés privées du 2FA, tu vois toujours pas ce que tu peux en faire ? Hacker de mes deux...
Non j'ai dit que je ne sais pas comment les mecs arrivent à hack la 2FA, par quel moyen ils arrivent à hack le 2FA si tu préfères.
Je ne m'y connais pas du tout sur téléphone ou tablette, mais je me demande si c'est possible d'avoir une machine vérolé qui récupère par la même occasion la seed sur téléphone si tu connectes celui-ci par USB. Je pense que ça doit être possible, suffit de savoir comment contourner l'utilisateur root d'android et ça j'e n'ai aucune idée du procédé.
En tout cas perso' je ne sais pas comment les mecs arrivent à hack un 2FA. Si quelqu'un a une explication je suis preneur 
Bah si tu arrives a récupérer les clés privées du 2FA, tu vois toujours pas ce que tu peux en faire ? Hacker de mes deux...
En tout cas perso' je ne sais pas comment les mecs arrivent à hack un 2FA. Si quelqu'un a une explication je suis preneur
Enfin il y a bien la technique de synchroniser en temps réel la connexion via un phishing, ou alors un APK dégelasse... Mais je doute que Kenza se soit fait hack de cette façon.
Enfin il y a bien la technique de synchroniser en temps réel la connexion via un phishing, ou alors un APK dégelasse... Mais je doute que Kenza se soit fait hack de cette façon.
Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.
Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.
We also RECOMMEND storing the keys securely in the validation system,
and, more specifically, encrypting them using tamper-resistant
hardware encryption and exposing them only when required: for
example, the key is decrypted when needed to verify an OTP value, and
re-encrypted immediately to limit exposure in the RAM to a short
period of time.
https://tools.ietf.org/html/rfc6238
Oui c'est tres choquant mais apparement les seeds sont stockées en clair(!).
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Je ne vois pas tellement en quoi c'est choquant. Dans la mesure où tu n'as pas de mdp à l'accès à l'application celle-ci peut difficilement se permettre de crypter ça comme elle l'entend.
Ensuite comme tu le dis bien il faut que le téléphone soit rooté pour ce faire. Et j'imagine qu'il faut des accès privilégiés pour y accéder. Donc rien d'anormal jusqu'ici.
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ?
Il suffit d'aller dans ce repertoire si le tel est rooté /data/data/com.google.android.apps.authenticator2/databases/databases avec un db explorer.
Si tu te fais hack tes mdp il est probable que ce soit ton pc qui soit compromis. Stocker tes 2FA sur la même machine est stupide.
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
Perso j'ai un vieux laptop rarement utilisé qui me sert à cela.
Donc je le connecte uniquement pour des besoins spécifiques et le reste du temps il est hors ligne et même éteint.
L'avantage pour moi ici est qu'en cas de perte de mon smartphone, je peut brancher le laptop concerné, et avoir accès à mes comptes sans avoir besoin de passer par de laborieuses procédures de reset pour chaque compte.
cela dit, je ne gardes pas une fortune dans ces comptes et au pire des cas, les pertes financières ne me mettrons pas à la rue.
Par contre si d'importantes sommes sont en jeu, rien ne vaut un cold wallet pour sécuriser ses cryptos.
Pour finir, je dirais que la notion de sécurité n'est que contextuelle car en fonction de la valeur du butin, aucune sécurité n'est inviolable et il est important de comparer les contraintes d'utilisations liées à un système de sécurité et la valeur de l'objet en question.
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ?
Bah sur un téléphone rooté visiblement aegis va aller fouiller dans les données de l'appli et permet de les récupérer alors même que google auth n'offre pas de possibilité d'export.
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
on peut récupérer quoi sur google auth ? ya des fichiers utiles quelque part ?
J' imagine qu'Aegis importe ensuite les backup (c'est pas juste une sorte de fichier texte)...
(j'ai bien sûr déjà la tablette)
(j'ai bien sûr déjà la tablette)
Aegis propose une fonction import/export au format json oui.
Aegis propose aussi une fonction import depuis le format google auth sur téléphones rootés.
Tu peux simplement stocker une sauvegarde cryptée de aegis ou autre sur une clé usb/CD ROM/Disque dur externe etc. Ca marche très bien aussi et c'est moins cher qu'une tablette
J' imagine qu'Aegis importe ensuite les backup (c'est pas juste une sorte de fichier texte)...
(j'ai bien sûr déjà la tablette)
Tu as complètement raison. Je vais plutôt l'installer sur une tablette (pour avoir un double en cas de (re)perte du téléphone).
Tu peux simplement stocker une sauvegarde cryptée de aegis ou autre sur une clé usb/CD ROM/Disque dur externe etc. Ca marche très bien aussi et c'est moins cher qu'une tablette
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
Tu as complètement raison. Je vais plutôt l'installer sur une tablette (pour avoir un double en cas de (re)perte du téléphone).
Peut-on avoir Google auth sur le téléphone et Authy sur le pc pour un même compte 2fa ? Je pense que oui (test rapide avec un exchange où j'ai plus rien) mais quelqu'un peut-il confirmer ?
Bah évidemment. Suffit de comprendre le principe de fonctionnement.
L'application que tu utilises ne change pas la validité de la clé privée utilisée (celle que tu utilises pour "enregistrer" un nouveau code 2FA).
Mais je pense qu'utiliser une app 2FA sur son pc, si ce n'est pas un PC airgapped, est une mauvaise idée.
Si tu te fais hack tes mdp il est probable que ce soit ton pc qui soit compromis. Stocker tes 2FA sur la même machine est stupide.
L'intérêt du 2FA est justement d'avoir besoin d'un autre matériel pour ton authentification, ton téléphone par exemple. A partir du moment où tu centralises toutes les données nécessaires à ton identification sur une seule machine, tu t'exposes fortement.
Par principe, je n'ai pas confiance dans le stockage cloud de Authy . Si j'ai bien compris ce n'est qu'une option.
Ce qui m'intéresse par contre, c'est de l'avoir sur mon téléphone et sur mon Pc (linux). Mais pas de synchronisation pour moi. J'entrerai les codes manuellement.
Peut-on avoir Google auth sur le téléphone et Authy sur le pc pour un même compte 2fa ? Je pense que oui (test rapide avec un exchange où j'ai plus rien) mais quelqu'un peut-il confirmer ?
Ce qui m'intéresse par contre, c'est de l'avoir sur mon téléphone et sur mon Pc (linux). Mais pas de synchronisation pour moi. J'entrerai les codes manuellement.
Peut-on avoir Google auth sur le téléphone et Authy sur le pc pour un même compte 2fa ? Je pense que oui (test rapide avec un exchange où j'ai plus rien) mais quelqu'un peut-il confirmer ?
Il y a un mot de passe perso à saisir pour restaurer tes tokens sur chaque nouveau device. A moins que le mdp ne soit stocké en clair dans leur BDD (ce qui est rarissime de nos jours), le niveau de sécurité est lié à mon avis à la qualité du mot de passe choisi.
Je sais pas si tu le fais exprès ou non, mais le but du 2FA de base est de ne pas se fier à des simples mots de passe. Et là tu me dis, wooooow mes 2FA sont protégés par un mot de passe, c'est 100% safe. Je crois que nous n'avons pas les mêmes exigences en terme de sécurité.
De toutes façons quelle que soit la sécurité mise en place : stockage cloud < stockage offline.
Celui qui ne comprend pas ça n'a rien compris à la sécurité informatique.
Jump to: