2FA - Page 1

Est-ce que certains d'entre vous ont investi dans des clés 2FA genre la Yubikey ?

Vous en pensez quoi ? ça vaut l'investissement à titre perso ?

Quel modèle est le plus intéressant ?

Flanker en a une (ou plusieurs).

J'ai en effet des Yubikey 4 (sachant qu'ils sont passés à la 5 tout récemment), à la fois pour du perso et pour du pro.
À titre perso, ça permet surtout td'y avoir une clef SSH « inviolable » et de me connecter sur mon ordi dans le train en rentrant un code PIN et non mon mot de passe (authentification PKCS11).
Pour les sites internet, je trouve qu'il vaut mieux commencer par utiliser un trousseau de mot de passe avec des mots de passe forts différents pour chaque accès avant de passer à la Yubikey.
En second facteur, la Yubikey est plus sûre que le code SMS envoyé, mais en pratique je ne sais pas si le niveau de sécurité est vraiment pertinent *à titre perso* (tout dépend bien sûr de la menace que tu veux contrer, en perso c'est plutôt de la criminalité organisée).

En revanche, je n'ai pas encore utilisé ma Yubikey perso pour me connecter sur des sites web vu que je veux pouvoir le faire depuis mon téléphone.

Sinon, à part la Yubikey la moins chère (et assez limitée), les différences sont uniquement sur la forme et le port utilisé (A ou C).

Pour le 2FA j'utilise globalement le syteme de Google Authenticator, on peux meme l'activer pour se logger en SSH sur un serveur linux, ca me rassure (je sais pas si ca evite mais bon) sur le fait que si quelqu'un tombe sur le bon mot de passe pour root, il ne puisse pas se logger sans avoir cette partie.

(enfin je suis assez agressif sur la gestion des erreurs de connexion via SSH, et me trouve souvent moi même bloqué, meme IP qui se connecte et fait une erreur de mot de passe, ou tente de se logger avec un compte qui n'existe pas apres 3 fail se fait ban pour un long moment, ca limite beaucoup les tentatives

fail2ban> status sshd
Status for the jail: sshd
|- Filter
|  |- Currently failed:	21
|  |- Total failed:	26742
|  `- File list:	/var/log/everything/current
`- Actions
   |- Currently banned:	13
   |- Total banned:	2921
   `- Banned IP list:	

et désole c'est une complete disgression)

<HS>
Wow, au vu des nombres ton ssh doit donner face au net en direct ?

Quid d'un peu de port knocking ?
</HS>

Et surtout interdire le login par mot de passe.
Changer le port ne fait pas de mal non plus, mais ça ne change pas grand-chose.

Hm sauf qu'il y a des fois où permettre un failover avec juste le mot de passe est indispensable. Typiquement, le jour où tu te fais voler ton sac à l'étranger, t'as plus accès a rien :/
Mon mot de passe ssh fait plus de 20 caractères. On peut le cracker ou tomber dessus par hasard, certes, mais bon (et il est sur un port non standard, avec blocage de l'IP source au bout de 3 échecs).
Bref, les OTP m'ont toujours paru une bonne idée mais pas forcément dans toutes les situations.

J'utilise authy (que je préfère à Google authenticator, mais c'est juste une histoire d'interface) pour pas mal de trucs (perso et pro)

Nil (./7) :
Hm sauf qu'il y a des fois où permettre un failover avec juste le mot de passe est indispensable. Typiquement, le jour où tu te fais voler ton sac à l'étranger, t'as plus accès a rien :/
Mon mot de passe ssh fait plus de 20 caractères. On peut le cracker ou tomber dessus par hasard, certes, mais bon (et il est sur un port non standard, avec blocage de l'IP source au bout de 3 échecs).
Bref, les OTP m'ont toujours paru une bonne idée mais pas forcément dans toutes les situations.

Je n’ai pas de secours par mot de passe. En revanche, en plus de la clef SSH sur ma YubiKey, j’ai une clef de secours dans une image disque chiffrée sur mon ordi/téléphone/iCloud.

flanker (./9) :
iCloud

Et comment tu fais pour accéder à iCloud ? Avec un mot de passe ? Parce que sinon, du coup, ta sécurité en prend un coup, quand-même.

Nil (./10) :

flanker (./9) :
iCloud

Et comment tu fais pour accéder à iCloud ? Avec un mot de passe ? Parce que sinon, du coup, ta sécurité en prend un coup, quand-même.

Double authent, mot de passe et périphérique autorisé (madame ou moi).

Du coup ça ne résout pas forcément le souci de vol (j'y pense suite à un vol en chambre d'hôtel à l'étranger surtout, même si c'est rare c'est là où en plus c'est là où tu peux en avoir le plus besoin, pour récupérer des scans de docs administratifs)

flanker (./11) :
périphérique autorisé (madame ou moi).

Vous vous considérez comme des périphériques ? Ça va un peu trop loin, le fanatisme Apple

Nil (./12) :
Du coup ça ne résout pas forcément le souci de vol (j'y pense suite à un vol en chambre d'hôtel à l'étranger surtout, même si c'est rare c'est là où en plus c'est là où tu peux en avoir le plus besoin, pour récupérer des scans de docs administratifs)

C'est comme toujours, tout dépend de la menace à laquelle tu veux répondre.
En l'occurrence, il faudrait voler les téléphones portables (qui ont peu de chance de rester dans un hôtel) et l'ordi (qui lui pourrait y rester) : je pense qu'il y a peu de chance que ça arrive (à moins d'être spécifiquement ciblé, mais c'est une hypothèse que j'ignore sciemment).
De plus, pour les papiers à l'étranger, je trouve qu'une bonne pratique est de toujours en avoir une photocopie (séparément des originaux, bien sûr) pour éviter les problèmes de perte ou de vol.

Hm. Je reste quand-même globalement dubitatif de la plus-value de la double authentification par rapport à un mot de passe fort et long (comm... non rien ) par rapport au bénéfice sécurité/complexité. Mais peut-être que je suis complètement à côté de la plaque, hein, je l'admets.

En tout cas je suis du même côté de la plaque que toi : je préfère de loin prendre le "risque" d'un mot de passe mais conserver la possibilité de me connecter à ce que je veux sans dépendre d'un matériel que je peux perdre. Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas, je considère que ma mémoire est un endroit bien plus efficace qu'un objet physique pour conserver mes moyens d'accès !

Le systeme de type google auth a des "scratch pad" qui sont des code utilisable une seule fois et qui sont a stocker de maniere securisé au cas ou ton app est indispo/volé/cassée.

A vrai dire un mot de passe long n'est pas forcement un gage de sécurité.

"Je m'apelle Nil et j'aime les ours" n'est pas un mot de passe sécurisé.

le 2FA tel que gauth permet aussi en cas de compromission du mot de passe de quand meme bloquer la personne.

Imaginons le cas ou quelqu'un veux vraiment accéder a ton serveur et fait une attaque MITM avancé et vole ton mot de passe de cette manière. Il ne pourra pas récupérer de cette manière le code a rentrer car savoir quel code tu as tapé et quand n'est pas suffisant pour avoir la graine de la sequence.

Zeph (./17) :
Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas

Par la force, peut-être pas, mais par d'autres moyens ?
• Zerosquare sort un paquet de fraises plates

Godzil (./18) :

"Je m'apelle Nil et j'aime les ours" n'est pas un mot de passe sécurisé.

Ce n'est pas mon mot de passe
Cela dit https://www.xkcd.com/936/

Godzil (./18) :

Imaginons le cas ou quelqu'un veux vraiment accéder a ton serveur et fait une attaque MITM avancé et vole ton mot de passe de cette manière. Il ne pourra pas récupérer de cette manière le code a rentrer car savoir quel code tu as tapé et quand n'est pas suffisant pour avoir la graine de la sequence.

Plusieurs labos du CNRS ont développé des solutions différentes qui permettent de faire de l'OTP sur mot de passe (dans l'exemple en question c'est avec une librairie écrite spécifiquement pour OpenVPN https://conf-ng.jres.org/2015/document_revision_1994.html?download §5), ou en utilisant des grilles secrètes pour faire de l'OTP sans dispositif tiers [l'utilisateur doit juste connaître l'emplacement personnel des éléments de la grille) (https://conf-ng.jres.org/2015/document_revision_2104.html?download )

Pour XKCD:

On parle ici d'un mot de passe pour une connexion SSH primaire, donc dont on doit a priori connaître de mot de passe (l'argument proposé par Mònica est essentiellement pour les mots de passe communs des sites web qui sont retenus dans les gestionnaires de mots de passe, et je suis globalement d'accord avec lui pour le coup ; mais le mot de passe du gestionnaire peut, à mon sens suivre le schéma donné par XKCD).

Zeph (./17) :
En tout cas je suis du même côté de la plaque que toi : je préfère de loin prendre le "risque" d'un mot de passe mais conserver la possibilité de me connecter à ce que je veux sans dépendre d'un matériel que je peux perdre. Le risque de séquestration/vol de mot de passe par la force n'étant pas très réaliste dans mon cas, je considère que ma mémoire est un endroit bien plus efficace qu'un objet physique pour conserver mes moyens d'accès !

Il faut prendre en compte la possibilité de perdre la Yubikey (d'où la clef SSH de secours ou la possibilité de se connecter avec un mot de passe sur l'ordi, par exemple).
Sinon, un des autres intérêts est qu'on a moins de remord à taper son mot de passe avec quelqu'un de présent (dans le train…) — c'est d'ailleurs LE gros intérêt du déverrouillage des téléphones par empreinte à mes yeux.
Je trouve qu'il faut aussi prendre en compte la possibilité d'oublier le mot de passe : mes mots de passe et autres coordonnées importantes sont dans un KeePass dont le mot de passe principal est séquestré sur papier à la maison. Les mots de passe les moins importants sont également dans le trousseau iCloud, par commodité, et il n'y a pas de second facteur. Un trou de mémoire passager (ou pas) est toujours possible, et je ne pense pas risquer grand-chose à le noter sur une feuille de papier perdue chez moi, avec les instructions pour tout retrouver…

Sinon il y a toujours un compromis à faire entre sécurité et utilisabilité, et le bon compromis est bien sûr différent pour chacun. J'imagine que sur yN, personne n'est concerné par du vol ciblé, le risque est plutôt d'être une cible parmi d'autres. Cela dit, l'expérience d'une connaissance me fait dire que la malveillance d'un proche n'est pas non plus à exclure (). En professionnel, le compromis sera souvent différent, d'ailleurs.

Par contre, à ma connaissance, l'entropie des phrases dont on retient les premières lettres ne reste pas idéale (il y a des méthodes de recherche basées sur ce genre de motifs, tout comme les dispositions sur les claviers), même si c'est déjà pas mal. Perso, j'en reste aux mots de passe vraiment aléatoires.