1

Est-ce que certains d'entre vous ont investi dans des clés 2FA genre la Yubikey ?

Vous en pensez quoi ? ça vaut l'investissement à titre perso ?

Quel modèle est le plus intéressant ?
avatar
Webmaster du site Ti-FRv3 (et aussi de DevLynx)
Si moins de monde enculait le système, alors celui ci aurait plus de mal à nous sortir de si grosses merdes !
"L'erreur humaine est humaine"©Nil (2006) // topics/6238-moved-jamais-jaurais-pense-faire-ca

2

Flanker en a une (ou plusieurs).
flanker a été invité sur ce sujet.
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

3

J'ai en effet des Yubikey 4 (sachant qu'ils sont passés à la 5 tout récemment), à la fois pour du perso et pour du pro.
À titre perso, ça permet surtout td'y avoir une clef SSH « inviolable » et de me connecter sur mon ordi dans le train en rentrant un code PIN et non mon mot de passe (authentification PKCS11).
Pour les sites internet, je trouve qu'il vaut mieux commencer par utiliser un trousseau de mot de passe avec des mots de passe forts différents pour chaque accès avant de passer à la Yubikey.
En second facteur, la Yubikey est plus sûre que le code SMS envoyé, mais en pratique je ne sais pas si le niveau de sécurité est vraiment pertinent *à titre perso* (tout dépend bien sûr de la menace que tu veux contrer, en perso c'est plutôt de la criminalité organisée).

En revanche, je n'ai pas encore utilisé ma Yubikey perso pour me connecter sur des sites web vu que je veux pouvoir le faire depuis mon téléphone.

Sinon, à part la Yubikey la moins chère (et assez limitée), les différences sont uniquement sur la forme et le port utilisé (A ou C).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

4

Pour le 2FA j'utilise globalement le syteme de Google Authenticator, on peux meme l'activer pour se logger en SSH sur un serveur linux, ca me rassure (je sais pas si ca evite mais bon) sur le fait que si quelqu'un tombe sur le bon mot de passe pour root, il ne puisse pas se logger sans avoir cette partie.

(enfin je suis assez agressif sur la gestion des erreurs de connexion via SSH, et me trouve souvent moi même bloqué, meme IP qui se connecte et fait une erreur de mot de passe, ou tente de se logger avec un compte qui n'existe pas apres 3 fail se fait ban pour un long moment, ca limite beaucoup les tentatives


fail2ban> status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	21
|  |- Total failed:	26742
|  `- File list:	/var/log/everything/current
`- Actions
   |- Currently banned:	13
   |- Total banned:	2921
   `- Banned IP list:	
et désole c'est une complete disgression)
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

5

<HS>
Wow, au vu des nombres ton ssh doit donner face au net en direct ?

Quid d'un peu de port knocking ?
</HS>
avatar
"If you see strict DRM and copy protection that threatens the preservation of history, fight it: copy the work, keep it safe, and eventually share it so it never disappears. [...] no one living 500 years from now will judge your infringing deeds harshly when they can load up an ancient program and see it for themselves."

Benj Edwards - Why History Needs Software Piracy

- - -
Achat ou échange: topic de mes recherches Meilleur smiley = #helico# Obligatory XKCD

6

Et surtout interdire le login par mot de passe.
Changer le port ne fait pas de mal non plus, mais ça ne change pas grand-chose.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

7

Hm sauf qu'il y a des fois où permettre un failover avec juste le mot de passe est indispensable. Typiquement, le jour où tu te fais voler ton sac à l'étranger, t'as plus accès a rien :/
Mon mot de passe ssh fait plus de 20 caractères. On peut le cracker ou tomber dessus par hasard, certes, mais bon (et il est sur un port non standard, avec blocage de l'IP source au bout de 3 échecs).
Bref, les OTP m'ont toujours paru une bonne idée mais pas forcément dans toutes les situations.
avatar

8

J'utilise authy (que je préfère à Google authenticator, mais c'est juste une histoire d'interface) pour pas mal de trucs (perso et pro)

9

Nil (./7) :
Hm sauf qu'il y a des fois où permettre un failover avec juste le mot de passe est indispensable. Typiquement, le jour où tu te fais voler ton sac à l'étranger, t'as plus accès a rien :/
Mon mot de passe ssh fait plus de 20 caractères. On peut le cracker ou tomber dessus par hasard, certes, mais bon (et il est sur un port non standard, avec blocage de l'IP source au bout de 3 échecs).
Bref, les OTP m'ont toujours paru une bonne idée mais pas forcément dans toutes les situations.
Je n’ai pas de secours par mot de passe. En revanche, en plus de la clef SSH sur ma YubiKey, j’ai une clef de secours dans une image disque chiffrée sur mon ordi/téléphone/iCloud.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

10

flanker (./9) :
iCloud
Et comment tu fais pour accéder à iCloud ? Avec un mot de passe ? Parce que sinon, du coup, ta sécurité en prend un coup, quand-même.
avatar

11

Nil (./10) :
flanker (./9) :
iCloud
Et comment tu fais pour accéder à iCloud ? Avec un mot de passe ? Parce que sinon, du coup, ta sécurité en prend un coup, quand-même.
Double authent, mot de passe et périphérique autorisé (madame ou moi).
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

12

Du coup ça ne résout pas forcément le souci de vol (j'y pense suite à un vol en chambre d'hôtel à l'étranger surtout, même si c'est rare c'est là où en plus c'est là où tu peux en avoir le plus besoin, pour récupérer des scans de docs administratifs)
avatar

13

flanker (./11) :
périphérique autorisé (madame ou moi).
Vous vous considérez comme des périphériques ? Ça va un peu trop loin, le fanatisme Apple embarrassed
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

14

grin

15

Nil (./12) :
Du coup ça ne résout pas forcément le souci de vol (j'y pense suite à un vol en chambre d'hôtel à l'étranger surtout, même si c'est rare c'est là où en plus c'est là où tu peux en avoir le plus besoin, pour récupérer des scans de docs administratifs)
C'est comme toujours, tout dépend de la menace à laquelle tu veux répondre.
En l'occurrence, il faudrait voler les téléphones portables (qui ont peu de chance de rester dans un hôtel) et l'ordi (qui lui pourrait y rester) : je pense qu'il y a peu de chance que ça arrive (à moins d'être spécifiquement ciblé, mais c'est une hypothèse que j'ignore sciemment).
De plus, pour les papiers à l'étranger, je trouve qu'une bonne pratique est de toujours en avoir une photocopie (séparément des originaux, bien sûr) pour éviter les problèmes de perte ou de vol.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant

16

Hm. Je reste quand-même globalement dubitatif de la plus-value de la double authentification par rapport à un mot de passe fort et long (comm... non rien embarrassed) par rapport au bénéfice sécurité/complexité. Mais peut-être que je suis complètement à côté de la plaque, hein, je l'admets.
avatar

17

En tout cas je suis du même côté de la plaque que toi : je préfère de loin prendre le "risque" d'un mot de passe mais conserver la possibilité de me connecter à ce que je veux sans dépendre d'un matériel que je peux perdre. Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas, je considère que ma mémoire est un endroit bien plus efficace qu'un objet physique pour conserver mes moyens d'accès !
avatar
All right. Keep doing whatever it is you think you're doing.
------------------------------------------
Besoin d'aide sur le site ? Essayez par ici :)

18

Le systeme de type google auth a des "scratch pad" qui sont des code utilisable une seule fois et qui sont a stocker de maniere securisé au cas ou ton app est indispo/volé/cassée.

A vrai dire un mot de passe long n'est pas forcement un gage de sécurité.

"Je m'apelle Nil et j'aime les ours" n'est pas un mot de passe sécurisé.

le 2FA tel que gauth permet aussi en cas de compromission du mot de passe de quand meme bloquer la personne.

Imaginons le cas ou quelqu'un veux vraiment accéder a ton serveur et fait une attaque MITM avancé et vole ton mot de passe de cette manière. Il ne pourra pas récupérer de cette manière le code a rentrer car savoir quel code tu as tapé et quand n'est pas suffisant pour avoir la graine de la sequence.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

19

Zeph (./17) :
Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas
Par la force, peut-être pas, mais par d'autres moyens ?
• Zerosquare sort un paquet de fraises plates
avatar
Zeroblog

« Tout homme porte sur l'épaule gauche un singe et, sur l'épaule droite, un perroquet. » — Jean Cocteau
« Moi je cherche plus de logique non plus. C'est surement pour cela que j'apprécie les Ataris, ils sont aussi logiques que moi ! » — GT Turbo

20

Godzil (./18) :

"Je m'apelle Nil et j'aime les ours" n'est pas un mot de passe sécurisé.
Ce n'est pas mon mot de passe embarrassed
Cela dit https://www.xkcd.com/936/


Godzil (./18) :

Imaginons le cas ou quelqu'un veux vraiment accéder a ton serveur et fait une attaque MITM avancé et vole ton mot de passe de cette manière. Il ne pourra pas récupérer de cette manière le code a rentrer car savoir quel code tu as tapé et quand n'est pas suffisant pour avoir la graine de la sequence.
Plusieurs labos du CNRS ont développé des solutions différentes qui permettent de faire de l'OTP sur mot de passe (dans l'exemple en question c'est avec une librairie écrite spécifiquement pour OpenVPN https://conf-ng.jres.org/2015/document_revision_1994.html?download §5), ou en utilisant des grilles secrètes pour faire de l'OTP sans dispositif tiers [l'utilisateur doit juste connaître l'emplacement personnel des éléments de la grille) (https://conf-ng.jres.org/2015/document_revision_2104.html?download )
avatar

21

Pour XKCD:
Password Security: Why the horse battery staple is not correctDiogo MónicaWhy the horse battery staple is not correct: We should **not** be incentivizing people to choose passwords in the first place.
avatar
Proud to be CAKE©®™


GCC4TI importe qui a problème en Autriche, pour l'UE plus et une encore de correspours nucléaire, ce n'est pas ytre d'instérier. L'état très même contraire, toujours reconstruire un pouvoir une choyer d'aucrée de compris le plus mite de genre, ce n'est pas moins)
Stalin est l'élection de la langie.

22

On parle ici d'un mot de passe pour une connexion SSH primaire, donc dont on doit a priori connaître de mot de passe (l'argument proposé par Mònica est essentiellement pour les mots de passe communs des sites web qui sont retenus dans les gestionnaires de mots de passe, et je suis globalement d'accord avec lui pour le coup ; mais le mot de passe du gestionnaire peut, à mon sens suivre le schéma donné par XKCD).
avatar

23

Zeph (./17) :
En tout cas je suis du même côté de la plaque que toi : je préfère de loin prendre le "risque" d'un mot de passe mais conserver la possibilité de me connecter à ce que je veux sans dépendre d'un matériel que je peux perdre. Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas, je considère que ma mémoire est un endroit bien plus efficace qu'un objet physique pour conserver mes moyens d'accès !
Il faut prendre en compte la possibilité de perdre la Yubikey (d'où la clef SSH de secours ou la possibilité de se connecter avec un mot de passe sur l'ordi, par exemple).
Sinon, un des autres intérêts est qu'on a moins de remord à taper son mot de passe avec quelqu'un de présent (dans le train…) — c'est d'ailleurs LE gros intérêt du déverrouillage des téléphones par empreinte à mes yeux.
Je trouve qu'il faut aussi prendre en compte la possibilité d'oublier le mot de passe : mes mots de passe et autres coordonnées importantes sont dans un KeePass dont le mot de passe principal est séquestré sur papier à la maison. Les mots de passe les moins importants sont également dans le trousseau iCloud, par commodité, et il n'y a pas de second facteur. Un trou de mémoire passager (ou pas) est toujours possible, et je ne pense pas risquer grand-chose à le noter sur une feuille de papier perdue chez moi, avec les instructions pour tout retrouver…

Sinon il y a toujours un compromis à faire entre sécurité et utilisabilité, et le bon compromis est bien sûr différent pour chacun. J'imagine que sur yN, personne n'est concerné par du vol ciblé, le risque est plutôt d'être une cible parmi d'autres. Cela dit, l'expérience d'une connaissance me fait dire que la malveillance d'un proche n'est pas non plus à exclure (neutral). En professionnel, le compromis sera souvent différent, d'ailleurs.

Par contre, à ma connaissance, l'entropie des phrases dont on retient les premières lettres ne reste pas idéale (il y a des méthodes de recherche basées sur ce genre de motifs, tout comme les dispositions sur les claviers), même si c'est déjà pas mal. Perso, j'en reste aux mots de passe vraiment aléatoires.
avatar
<<< Kernel Extremis©®™ >>> et Inventeur de la différence administratif/judiciaire ! (©Yoshi Noir)

<Vertyos> un poil plus mais elle suce bien quand même la mienne ^^
<Sabrina`> tinkiete flan c juste qu'ils sont jaloux que je te trouve aussi appétissant