Aller au contenu
Shazam!

Double Authentification sur le compte Tesla

Par Shazam!, dans Tesla

Messages recommandés

tben

tben

Posté(é)
Posté(é)

Si, si. J'avais un par feu sur mon PC dont j'ai oublié le non. Et c'était bien plus pour détecter les applis qui cherchaient à envoyer les données vers des serveurs que je ne connaissais pas que pour me protéger de quelqu'un qui aurait chercher à entrer.

Je suis passé à l'authentification par ces authenticateurs quand j'ai vu autant de personnes se faire pirater leur messagerie perso. Il n'y a rien de pire. Nous avons tendance à choisir des mots de passe trop simples.

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)

A noter que otp ne te protège pas contre le phishin et mitm attack (man in the middle). Quand c'est possible, préférer des clé physique u2f Fido ou fido2. C'est ce que j'utilise avec Gmail et Dropbox. Google a remonté 0 piratage grâce à u2f.

Partager ce message

Lien à poster
Partager sur d’autres sites
remjes

remjes

Posté(é)
Posté(é) (modifié)

 

Je relance le sujet car je viens de recevoir un mail de Tesla que plusieurs personnes ont dû recevoir aussi.

Etes-vous protégé ou allez-vous utiliser l'authentification à double facteur pour l'accès au compte ?

 

D'ailleurs ce sujet aurait-pu être déplacé au niveau Tesla plutôt que Model 3.

Modifié par Pahtath
(modération) Ca a été fusionné justement ;)

Partager ce message

Lien à poster
Partager sur d’autres sites
adsa

adsa

Posté(é)
Posté(é)

Je n'ai pas encore reçu le véhicule (model Y, je suis un infiltré de ce forum). 

Pour l'instant j'ai activé le double facteur avec backup dans Authy (synchronisé sur plusieurs tels). 

C'est aussi possible avec d'autres outils, libres ou non, tels que Bitwarden (qui fait également gestionnaire de mots de passe). 

 

L'idéal comme disait jpp59 c'est le U2F et les clés physiques (yubikey, Titan Key, et quelques d'autres) qui sont les seules à réellement protéger contre le phishing. Mais rares sont les sites qui sont compatibles et Tesla n'en fait pas partie. 

 

Je conseillerais également un gestionnaire de mots de passe, qui permet d'avoir un mot de passe différent pour chaque service, et de longueur suffisante. 

 

Au passage, la sécurité de l'ensemble de nos services en ligne n'est généralement pas plus élevée que celle de notre email. Car presque tous proposent une réinitialisation du MDP par email en cas d'oubli... Si le compte email est compris c'est game over, beaucoup d'autres services tombent comme un château de cartes. 

 

Mais tout ça n'est pas spécifique à Tesla. Désolé pour le HS. 

Partager ce message

Lien à poster
Partager sur d’autres sites
fastm3

fastm3

Posté(é)
Posté(é) (modifié)

Pour tout ce qui est critique et le compte tesla l'est, oui, c'est indispensable.

Les remarques sur la perte ou casse d'un tel ( mais un simple changement aussi ) du sujet sont inexactes si on utilise par exemple un authy pour cela qui permet d'avoir le générateur de code sur tous ces appareils , meme windows ou macos ou linux  ( et un backup facile et synchro entre tous les appareils ) . Bitwarden ( avant tout excellent gestionnaire de mot de passe  ) permet cela aussi dans sa version payante. Je ne sais pas comment je ferai d'ailleurs sans authy et bitwarden que je recommande vraiment.

 

Edit: un peu grillé par adsa...

 

 

 

Modifié par fastm3

Partager ce message

Lien à poster
Partager sur d’autres sites
adsa

adsa

Posté(é)
Posté(é)
Le 17/03/2022 à 21:25, fastm3 a dit :

Edit: un peu grillé par adsa...

 

Je pensais que c'était une réponse à mon message tellement on cite les mêmes outils!

Je crois qu'on est raccord...

 

Stocker le token TOTP dans Bitwarden, ça ne m'emballe que moyennement, même si c'est assez pratique. J'ai l'impression que l'on perd une partie des avantages du double facteur: devoir se faire piquer deux choses avant d'avoir des ennuis. 

Mais avoir ses deux facteurs dans deux logiciels sur le même téléphone est guère mieux donc je chipote sans doute. 

 

Pour revenir au sujet initial: se faire voler son compte Tesla me semble très critique. Le double facteur permet de réduire ce risque. Il existe des outils pour gérer correctement mots de passe et second facteur, sans devoir rentrer à pied en cas de perte du téléphone. Autant les adopter !

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)
Pour tout ce qui est critique et le compte tesla l'est, oui, c'est indispensable.
Les remarques sur la perte ou casse d'un tel ( mais un simple changement aussi ) du sujet sont inexactes si on utilise par exemple un authy pour cela qui permet d'avoir le générateur de code sur tous ces appareils , meme windows ou macos ou linux  ( et un backup facile et synchro entre tous les appareils ) . Bitwarden ( avant tout excellent gestionnaire de mot de passe  ) permet cela aussi dans sa version payante. Je ne sais pas comment je ferai d'ailleurs sans authy et bitwarden que je recommande vraiment.
 
Edit: un peu grillé par adsa...
 
 
 
Authy il faut un SMS il me semble pour restaurer sur un autre tél. Donc si tél volé tu es bien dans la panade...
Je persiste pour le compte tesla, préférable de ne pas mêtre de 2FA, plus d ennuis en cas de perte de téléphone que en cas de hack...
(Les numéro de carte bancaire ne sont plus visible une fois entré)

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)
Je pensais que c'était une réponse à mon message tellement on cite les mêmes outils!
Je crois qu'on est raccord...
 
Stocker le token TOTP dans Bitwarden, ça ne m'emballe que moyennement, même si c'est assez pratique. J'ai l'impression que l'on perd une partie des avantages du double facteur: devoir se faire piquer deux choses avant d'avoir des ennuis. 
Mais avoir ses deux facteurs dans deux logiciels sur le même téléphone est guère mieux donc je chipote sans doute. 
 
Pour revenir au sujet initial: se faire voler son compte Tesla me semble très critique. Le double facteur permet de réduire ce risque. Il existe des outils pour gérer correctement mots de passe et second facteur, sans devoir rentrer à pied en cas de perte du téléphone. Autant les adopter !
Ouiw mettre la seed otp et le mots de passe dans bitwarden c'est du n'importe quoi. Faut au moins utiliser 2 logiciels différents

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 18/03/2022 à 02:55, jpp59 a dit :

Authy il faut un SMS il me semble pour restaurer sur un autre tél. Donc si tél volé tu es bien dans la panade...
Je persiste pour le compte tesla, préférable de ne pas mêtre de 2FA, plus d ennuis en cas de perte de téléphone que en cas de hack...
(Les numéro de carte bancaire ne sont plus visible une fois entré)
 

Il est vivement conseillé par Tesla (et de manière générale) de générer des codes de secours one-shot et stockés de manière sécurisée.

Pour moi, je n'imagine pas une seconde disposer de mes comptes GAFAT sans avoir du 2FA, il faut juste savoir anticiper les éventuelles pertes de token.

 

Pour les feignasses, il existe aussi plein de hardtokens qui permettent de se passer du smartphone, comme les Yubikey.

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é) (modifié)
Le 18/03/2022 à 09:46, noel80 a dit :

Cette discussion en langage français courant afin de comprendre quelque chose, c'est possible ?

 

Donc, voir les messages précédents maintenant que la discussion est fusionné, mais je vais re-répondre.

L'idée est qu'un couple login/password n'est PAS sécurisé, surtout si ce couple est réutilisé sur plusieurs sites.

 

Pour éviter qu'un utilisateur malicieux vienne accéder à mon compte en récupérant des mots de passe compromis, j'impose la double-authentification à la plupart de mes comptes Internet qui la propose (Google, Microsoft, Facebook, Amazon et Tesla pour ne citer que les plus connus)

L'idée de la double-authentification est de demander en sus du login/password un token qui est unique et non-persistent et qui est généralement une suite de 6 chiffres.

Maintenant que les banques implémentent des protocoles de sécurité, vous avez tous fait l'expérience de 2FA (double-facteur authentification, acronyme) : vous recevez un SMS à 6 chiffres (ça c'était avant) ou maintenant vous devez installer une application de la banque pour authentifier le paiement.

 

Dans le cas de Tesla, ils nous proposent une 2FA par un système de tokens à 6 chiffres évoluant dans le temps. Pour générer cette suite de 6 chiffres, il faut alors disposer d'un outil (généralement une application logiciel comme Google Authenticator ou FreeOTP mais d'autres existent et surtout des solutions matérielles existent pour se passer du smartphone) qui va, dans une phase de configuration initiale, se synchroniser avec Tesla pour générer les nombres à 6 chiffres correspondants. Une fois l'application synchronisée, l'expérience utilisateur consiste simplement à ouvrir l'application de 2FA et à saisir les 6 chiffres données par l'app au moment du login (après avoir passé la première étape de login/password)

 

Un des débats ici consiste à dire qu'en cas de perte du smartphone qui contient l'app 2FA, l'accès est alors perdu. C'est vrai, mais Tesla fournit une solution pour pallier ce risque : on peut générer des codes de secours à usage unique et les stocker de manière sécurisée, afin de pouvoir récupérer son compte le cas échéant.

 

EDIT : Dernier point, qui a déjà été répondu mais que je reprécise : un accès 2FA n'empêche pas l'utilisation de la clé téléphone par Bluetooth ou n'empêche pas la génération de tokens Tesla pour des apps tierces (comme Teslafi par exemple). Dans le cas de la clé BT, l'application Tesla n'impose pas de se réauthentifier à chaque ouverture, et dans le cas de la génération des tokens Tesla, il suffit juste de saisir son token OTP en sus des login/password au moment de la création du Tesla SSO Refresh Token et du Tesla Owner API Access Token.

Modifié par Pahtath

Partager ce message

Lien à poster
Partager sur d’autres sites
yankee76

yankee76

Posté(é)
Posté(é)
Le 18/03/2022 à 10:06, Pahtath a dit :

 

D Pour générer cette suite de 6 chiffres, il faut alors disposer d'un outil (généralement une application logiciel comme Google Authenticator ou FreeOTP mais d'autres existent et surtout des solutions matérielles existent pour se passer du smartphone)

 

 Tesla fournit une solution pour pallier ce risque : on peut générer des codes de secours à usage unique et les stocker de manière sécurisée, afin de pouvoir récupérer son compte le cas échéant.

 

Mon niveau d'informatique étant proche du zéro:

 

-Comment fait on si on se connecte a son compte Tesla via un PC?  Il faut la même application que sur le téléphone ? C'est le même mot de passe sur le téléphone et le PC ?

 

-On peut avoir le code de secours a l'avance ou seulement quand on est bloqué ?

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)
Il est vivement conseillé par Tesla (et de manière générale) de générer des codes de secours one-shot et stockés de manière sécurisée.
Pour moi, je n'imagine pas une seconde disposer de mes comptes GAFAT sans avoir du 2FA, il faut juste savoir anticiper les éventuelles pertes de token.
 
Pour les feignasses, il existe aussi plein de hardtokens qui permettent de se passer du smartphone, comme les Yubikey.
Et les codes de secours, tu les a sur toi h24?
Comment ça se passe quand tuviens de perdre ton tel? Moi j install l app sur un tel d'une personne sympa qui veux aider, je démarre la voiture , je désinstalle l'App, je remercie la personne et je rentre chez moi...

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é) (modifié)
Le 18/03/2022 à 14:03, jpp59 a dit :

Mais si tu as perdu ton tel, tu as perdu le 2fa pour accéder à l'espace...

Non, car cet accès ne requiert pas de 2FA et n'est pas par exemple mon Google Drive.

 

Je vais pas faire des dessins plus explicites mais j'ai moyen de me connecter à un espace sécurisé et d'aller déverrouiller un fichier suivant un algo de cryptage particulier.

 

EDIT : bon, allez, je me dis que ça vaut le coup de montrer l'outil révolutionnaire :

https://www.linuxtricks.fr/wiki/chiffrer-des-fichiers-par-mot-de-passe-avec-gnupg

 

Modifié par Pahtath

Partager ce message

Lien à poster
Partager sur d’autres sites
jpp59

jpp59

Posté(é)
Posté(é)

J imagine, mais va expliquer a une personne lambda comment mettre en place, ça fait une URL et un mots de passe supplémentaires a mémoriser, et qui est oublié vu que c'est pratiquement jamais utilisé...
Je suis d'accord sur le 2fa mais uniquement pour le vital/financier (banque,gmail qui est le point de réinitialisation de tous tes compte, cloud) , le reste non...

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 18/03/2022 à 14:28, jpp59 a dit :

J imagine, mais va expliquer a une personne lambda comment mettre en place, ça fait une URL et un mots de passe supplémentaires a mémoriser, et qui est oublié vu que c'est pratiquement jamais utilisé...

 

Je comprend pas. Si je suis en voyage et que je perds mon téléphone (admettons en Thaïlande), j'aurai toujours moyen de rejoindre un cybercafé ou tout simplement de rejoindre mon hôtel pour récupérer mes informations. D'ailleurs, on risque de déborder, mais je fais de même avec mon passeport, stocké dans un coffre-fort à l'hôtel et avec la copie du passeport (le premier volet détachable) stocké en ligne juste à côté de mes clés de secours et avec la même méthode d'encryption symétrique.

 

Au pire, ma femme dispose de mes accès et elle sait comment accéder à ces documents, ca fait partie des choses qu'on s'est transmis.

 

Le 18/03/2022 à 14:28, jpp59 a dit :

Je suis d'accord sur le 2fa mais uniquement pour le vital/financier (banque,gmail qui est le point de réinitialisation de tous tes compte, cloud) , le reste non...

 

Pas de souci, c'est ton choix que je respecte, je donne juste des réponses techniques à des préoccupations légitimes ("comment faire si je perds l'accès à mon application 2FA ?")

Au passage, rien n'empêche (sur certains sites, comme Tesla) d'avoir plusieurs applications d'auth, typiquement j'ai le téléphone de mon épouse qui est aussi configuré pour le 2FA Tesla.

 

Partager ce message

Lien à poster
Partager sur d’autres sites
Pahtath

Pahtath

Posté(é)
Posté(é)
Le 18/03/2022 à 12:04, yankee76 a dit :

 

-Comment fait on si on se connecte a son compte Tesla via un PC?  Il faut la même application que sur le téléphone ? C'est le même mot de passe sur le téléphone et le PC ?

 

Non, il faut juste prendre son téléphone et ouvrir l'application 2FA au moment où vous vous connectez sur le site via PC. Il suffit alors de saisir manuellement les 6 chiffres indiqués par l'application 2FA directement sur votre clavier (sachant qu'il y a un timer, et qu'au delà d'un certain temps, ce nombre est changé)

Une alternative est d'acheter une clé de sécurité comme les Yubikey qui permet d'accéder directement en branchant la clé par USB sur l'ordinateur au moment du login, ou alors de rapprocher la clé du smartphone par NFC (si on veut accéder via le smartphone).

 

 

Le 18/03/2022 à 12:04, yankee76 a dit :

-On peut avoir le code de secours a l'avance ou seulement quand on est bloqué ?

 

C'est au moment de la configuration sur le compte Tesla, on va vous proposer d'en générer. Il suffit alors de bien noter les codes et de les stocker de manière sécurisée.

 

Ils ne vous serviront que si vous êtes justement bloqué : dans ce cas, au moment du login, vous aurez moyen de dire "je préfère utiliser un code de secours" et là le compte Tesla vous demandera un des codes. 

Ce code sera alors "brûlé" et deviendra inutilisable une fois connecté, il faudra penser à en régénérer d'autres si besoin.

 

Partager ce message

Lien à poster
Partager sur d’autres sites
Aller sur la liste des sujets

  • Contenu similaire

    • khal
      Voiture qui avance toute seule (par temps froid ?)
      Par khal
      Bonjour à tous !
       
      Il m'est arrivé un souci assez inquiétant il y a qq semaines et je voulais savoir si d'autres personnes étaient concernées.
      Ça s'est passé le 17/12, quand il faisait -4°C dehors.
      J'étais à l'arrêt dans une file d'attente et la voiture s'est mise à avancer toute seule pour rentrer dans la voiture devant (je discutais avec le passager, pas eu le temps de réagir).
      J'ai d'abord cru avoir appuyé sur l'accélérateur sans m'en rendre compte mais pour en être sûr j'ai fait le test juste après : appui léger sur l'accélérateur puis relâcher la pédale, puis appui sur le frein. Le message "pédale d'accélération enfoncée" (ou qqchose du genre) s'est affiché sur le tableau de bord.
      J'ai précisé en début de message qu'il faisait -4°C dehors en supposant que ça pouvait avoir un lien (la voiture avait roulé 30mn seulement avant ça), mais comme je n'ai aucune idée de comment l'accélération fonctionne (câble ? huile ? autre ?) ça n'a peut-être rien à voir.
       
      Est-ce arrivé à d'autres personnes ?
       
      ps : j'ai pris rdv par l'app.
    • JOM
      Détection collision piétons
      Par JOM
      Bonjour les vriboudis . Pour celles ou ceux qui ont l'option .
      Mon I3S de 2020 ne garde pas l'option ' sécurité piétons ' cochée dans le menu de l'application . "Avertissement collision" reste coché, pas ' détection piétons ' . Quelqu'un a le même problème ? Merci
    • Arrow
      Sécurité - Appareil Tete haute
      Par Arrow
      Bj à tous
       
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
       
      Merci
      Futur possesseur de SR+, ... normalement
       

    • Arrow
      Sécurité - Tesla model 3 - Lecture tête haute
      Par Arrow
      Bj à tous
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
      Merci
      Futur possesseur de SR+, ... normalement
    • gusti
      Un accident con
      Par gusti
      Bonjour à tous, 
      9 ans que j'ai ma Leaf 24 et 140 000 km et hier il m'arrive un accident vraiment con. Je me gare devant une boîte aux lettres pour y poster 2 cartes postales. Pied sur le frein, je chope les cartes, ouvre la portière, sors de la voiture et me dirige vers la boîte en contournant la leaf par l'arrière et là, je la vois partir toute seule ! Le temps de sauter à l'intérieur, il était trop tard, elle s'est arrêtée contre un panneau de signalisation planté au milieu du trottoir ! Meeeerrrde !
      Confinement oblige, personne ne m'a vu, j'aurais eu trop honte...
      Bon y a pas trop de mal, j'ai pu redresser le pare-chocs plastique et remettre l'antibrouillard en place. Il reste des fissures autour de l'antibrouillard et de la peinture craquelée...
      J'espère que ça vous fait bien rire, mais ce message est aussi là pour vous prévenir. Je suis sorti de la voiture sans la mettre en mode Parking, c'est pourquoi elle est partie dès que j'ai relâché le frein. Je pense qu'il y a un grave défaut de sécurité parce que cette situation pourrait parfaitement  être détectée : voiture à l'arrêt, portière qui s'ouvre, sélecteur en mode marche AV ou AR, perte de présence du conducteur tout ça c'est détecté.
      Vérifiez sur vos véhicules et prenez soin de vous !
      Gusti




×
×
  • Créer...
Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.

Actualités

Dossiers

Véhicules

Forums

Essais

Boutique

Occasions

Guide du véhicule électrique

A propos