Double Authentification sur le compte Tesla

[jpp59]

Bonne vidéo d'explication sauf que c'est pas 15 sec mais 30sec pour le changement et y a pas de stress a avoir car une marge est prévue car l'horloge de l'appareil qui génère le code (le smartphone typiquement) et le serveur peuvent être décalé. Typiquement les 3/4 code précédents et suivants sont acceptés.

[LeLutin]

Le 18/03/2022 à 14:17, Pahtath a dit :

Non, car cet accès ne requiert pas de 2FA et n'est pas par exemple mon Google Drive.

 

Je vais pas faire des dessins plus explicites mais j'ai moyen de me connecter à un espace sécurisé et d'aller déverrouiller un fichier suivant un algo de cryptage particulier.

 

EDIT : bon, allez, je me dis que ça vaut le coup de montrer l'outil révolutionnaire :

https://www.linuxtricks.fr/wiki/chiffrer-des-fichiers-par-mot-de-passe-avec-gnupg

 

Sympa l'astuce 👍

En plus sur le site d'Adrien, que je lis/regarde régulièrement.

[Pahtath]

Le 18/03/2022 à 17:14, LeLutin a dit :

Sympa l'astuce 👍

En plus sur le site d'Adrien, que je lis/regarde régulièrement.

Attention par contre, l'algo standard d'encryptage symétrique change en fonction des versions GnuPG. Ils sont tous plus ou moins robustes mais c'est mieux de forcer à utiliser AES256 en rajoutant l'option --cipher-algo AES256

 

Et on rappelera à toutes fins utiles que la robustesse de l'encryptage dépend directement de la phrase de passe. Plus elle sera complexe, plus la sécurité sera garantie.

 

Enfin, pour les nombreux qui n'ont pas Linux mais qui ont Android, il existe l'appli OpenKeyChain qui permet d'encryper symétriquement.

[jpp59]

Sinon y a 7zip , dispo sur tous les OS et avec une interface pour les non geeks

[BRETON38]

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

Modifié mars 19, 2022 par BRETON38

[M-ric]

Le 19/03/2022 à 13:13, BRETON38 a dit :

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

Je pourrais mettre ma carte bleue sur ton compte et payer tes recharges !!!

[Pahtath]

Le 19/03/2022 à 13:13, BRETON38 a dit :

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

 

Ne jamais sous-estimer les capacités de nuisance d'un hacker, il sera forcément plus inventif que vous.

 

Par exemple, il pourrait décider de changer le MDP et ensuite de transférer la propriété de la voiture, ou encore de faire acheter le FSD juste par esprit retors.

 

Après, pour moi le 2FA est une question de principe, un peu comme un cambriolage : le fait que quelqu'un puisse s'introduire chez moi est fort émotionnellement, et j'applique ce même principe à mes comptes principaux.

Surtout quand un de ces comptes est directement lié au 2nd plus gros investissement matériel que je possède.

[jpp59]

Transfert propriété et achats fsd c'est annulable en contactant le support. Même si c'est chiant, on se fait pas hacker tous les jours...

[nicothum]

Le 19/03/2022 à 21:53, jpp59 a dit :

Transfert propriété et achats fsd c'est annulable en contactant le support. Même si c'est chiant, on se fait pas hacker tous les jours...

Et on ne se connecte pas non plus tous les jours sur le site Tesla. Pour l'application ça n'a aucun impact car elle reste connectée même après redémarrage du téléphone. Du coup activer le 2FA ne présente franchement aucune contrainte.

C'est comme beaucoup de choses : on pense que ça n'arrive qu'aux autres jusqu'au jour où on doit gérer les merdes. En dehors de pouvoir géolocaliser la voiture et de l'ouvrir/démarrer (si pas de code Pin) le hacker peut acheter le FSD et s'amuser à la déplacer juste pour rigoler par exemple. Payer des recharges sur une non Tesla, etc...

Très franchement ça vaut le coup de faire un petit effort pour le mettre en place sachant qu'une fois fait ça n'entraîne aucune contrainte au jour le jour.

Et pour tout ce qui concerne le risque de perte du téléphone très franchement ça n'en est pas un : j'ai toujours la carte dans mon portefeuille et il ne me viendrait pas à l'idée de prendre le risque de ne reposer que sur le téléphone pour ouvrir la voiture. Sachant qu'on peut en plus en acheter plusieurs pour presque rien et que par ailleurs je pourrais aussi demander le téléphone d'un passant et contacter ma femme pour qu'elle me dévérouille et démarre la voiture à distance. Soit plus de possibilités de s'en sortir qu'avec une voiture classique ou si on perd les clés bin....

Modifié mars 20, 2022 par nicothum

[jpp59]

On me donne 1 eur chaque fois que quelqu'un serra emmerdé par le 2fa, je donne 1 eur chaque fois que quelqu'un se fait hacké, je pense gagner de l'argent...

[Pahtath]

Le 20/03/2022 à 18:44, jpp59 a dit :

On me donne 1 eur chaque fois que quelqu'un serra emmerdé par le 2fa, je donne 1 eur chaque fois que quelqu'un se fait hacké, je pense gagner de l'argent...

Ok, merci, je pense que j'ai compris que tu ne souhaites pas obtenir le 2FA. C'est ton choix, je le respecte, tout comme je te demande de ne pas insister sur ce topic si tu n'y trouves aucune utilité personnelle, merci.

 

[jpp59]

Ok je pense que après tous les arguments les gens peuvent se faire une idée du pour ou contre mais j'insistais a prévenir les gens car étant informaticien jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

[M-ric]

Le 20/03/2022 à 19:36, jpp59 a dit :

Ok je pense que après tous les arguments les gens peuvent se faire une idée du pour ou contre mais j'insistais a prévenir les gens car étant informaticien jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

Pas compliqué à retenir 123.azerty !

[Pahtath]

Le 20/03/2022 à 19:36, jpp59 a dit :

jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

Pour moi, ce sont deux choses fondamentalement différentes d'un point de vue cognitif.

 

Dans le cas des identifiants, il faut effectivement faire appel à sa mémoire.

Dans le cas du 2FA, aucun besoin de se souvenir de quoi que ce soit, le site demande à donner le code à 6 chiffres qu'une application donne à l'instant T, donc l'effort est juste d'ouvrir ladite app.

 

PS : Vive les gestionnaires de mots de passe pour le premier souci. Tant qu'on est à parler de bonnes pratiques, choisissez un mdp simple à retenir mnémoniquement mais avec une graphie compliquée (le leetspeak est un bon exemple) et SURTOUT rendez ce mdp variable par site en le modifiant (avec par exemple un préfixe ou un suffixe) qui soit basé sur le site.

 

Un exemple ? AutoP;4z3RtY; est un mot de passe robuste et unique basé sur le fait qu'il est destiné à AutomobilePropre et il contient la chaîne AZERTY classique.

[jpp59]

Ma mère s en sort aussi avec son calepin

[adsa]

Le 20/03/2022 à 21:00, Pahtath a dit :

Un exemple ? AutoP;4z3RtY; est un mot de passe robuste et unique basé sur le fait qu'il est destiné à AutomobilePropre et il contient la chaîne AZERTY classique.

Attention avec cette technique. Tous les sites ne sont pas si sécurisés que cela. Il suffirait d'une ou deux fuites pour identifier la partie fixe et variable du mot de passe. 

Alors oui c'est mieux que de réutiliser le même partout, mais un bon gestionnaire de mots de passe peut générer des mots de passe aléatoires et les enregistrer. 

Il suffit ensuite de n'en retentir qu'un seul, celui qui déverrouille (déchiffre) le gestionnaire de mots de passe. Par contre il faut un excellent mot de passe pour protéger tous les autres.

 

Alors comment créer un unique très bon mot de passe et le retenir? Il y a plusieurs écoles. 

L'ANSSI, si je me souviens bien, préconise de se choisir une phase, éventuellement en ne gardant que la première lettre de chaque mot.

 

Une seconde méthode que j'aime aussi beaucoup consiste à tirer au hasard (j'insiste sur le fait que le hasard doit sélectionner ces mots) plusieurs mots. L'idée avait été présentée par xkcd puis reprise par différents sites qui proposent des générateur s'en inspirant.

 

https://xkcd.com/936/

https://www.correcthorsebatterystaple.net/

 

Dans tous les cas l'idée pour protéger ses comptes est d'accepter que les humains sont mauvais pour créer de nombreux mots de passe uniques et robustes et les retenir.

L'authentification double facteur permet de partiellement compenser cette faiblesse.

Les gestionnaires de mots de passe également.  

 

 

[Pahtath]

Le 20/03/2022 à 23:00, adsa a dit :

Attention avec cette technique. Tous les sites ne sont pas si sécurisés que cela. Il suffirait d'une ou deux fuites pour identifier la partie fixe et variable du mot de passe. 

 

J'avoue, mon exemple est effectivement incorrect, mea culpa. Perso, j'ai fondu la partie variable avec la partie fixe sans ponctuation entre et avec une partie variable moins évidente.

Bon, en tout cas, l'idée est juste de dire qu'il faut considérer les mots de passe comme des secrets à durée de vie extrêmement courte, qui plus est si le MDP est partagé sur plusieurs sites, d'où la nécessité d'en avoir des uniques.

 

Et comme il est extrêmement facile d'accéder à des listes de couples id/MDP (suffit de regarder l'actualité avec la fin de Raidforums ou autres...),  on comprend vite le besoin du 2FA :

 

https://www.futura-sciences.com/tech/actualites/cybersecurite-huit-milliards-mots-passe-devoiles-forum-87913/

[jpp59]

Encore des journalistes qui savent rien ,la liste rockyou c'est du pipo, les 9 milliards sont pour la plupart juste des mots, pas des mots de passe leak. La plus grosse base c'est ihavebeenpowned qui a 800millions mots de passe leak.

On derive hors sujet la non?

[Pahtath]

Le 20/03/2022 à 23:44, jpp59 a dit :

On derive hors sujet la non?

HS, le fait de montrer la fragilité du couple identifiant/mot de passe pour justifier le 2FA, surtout pour un site qui donne accès à ma voiture ?

 

Franchement, j'aimerais bien que les Impôts ou encore mes différents fournisseurs d'énergie fassent pareil...

 

EDIT : Erratum, le fisc le fait 

https://www.impots.gouv.fr/particulier/questions/comment-renforcer-la-securite-de-lacces-mon-espace-particulier

 

Perso je m'occupe de l'activer dès demain.

 

EDIT 2 : Lu trop vite, la DGFiP ne fournit le SMS de confirmation que sur le changement de MDP ou la demande de numéro fiscal, dommage.

Bon, là c'est du vrai HS.

Modifié mars 20, 2022 par Pahtath

[JPMain]

Si j'ai tout bien compris il faut télécharger une application d'authentification, quelconque, mot important, pour sécuriser l'accès au compte Tesla.

 

Peut-on faire confiance à une application d'authentification quelconque, en particulier celle signée Google ?

 

Accessoirement ma banque me demande d'utiliser la reconnaissance digitale de mon égophone; c'est un équivalent j'imagine ?

Modifié mars 21, 2022 par JPMain

[Pahtath]

Le 21/03/2022 à 06:35, JPMain a dit :

Peut-on faire confiance à une application d'authentification quelconque, en particulier celle signée Google ?

Excellente et compréhensible remarque connaissant le passif de Google sur la vie privée. FreeOTP, AndOTP et FreeOTP+ sont des applications opensource et maintenues par une communauté.

 

[jpp59]

Peu de solutions open source qui propose un backup simple. Quand tu transfér les données sur un nouveau téléphone généralement c'est pas transféré, donc soi bien garder la seed (c'est le qrcode ou une chaîne de caractères d'une 30aine de lettre) soit bien garder la liste des code de secours car il faudra se loguer, désactiver le 2fa puis le réactiver avec le nouveau téléphone.
Pour éviter cela moi j'utilise Authy, qui a une bonne réputation et qui sauvegarde dans son cloud avec encryption par une phrase de passe.(passphrase).

[jpp59]

Ah et sinon, pour l'appli de ta banque, c'est plutôt comme le u2f fido que totp. Totp reste ataquable en Man in the middle (quelq'un qui se positionne entre toi et le site) ou phishing (quelq'un qui te redirige et te fais croire que t es sur le site de la banque, mais t es sur une simulation du site, il va prendre ton login, mots de passe, et token totp qu'il va utiliser de suite pour se connecter à ta place).
Ta banque et l'authentification u2f fido s'assure que le canal de communication est sécurisé (TLS) et que le certificat du site correspond bien au site lié à ton token. Il n y a pas de saisi au clavier.
Il y a même un compteur dans ta clé qui s incremente a chaque connexion, comme ça si quelqu'un arrive a dupliquer ta clé (difficile à faire quand même) et bien le site va voir que le compteur est bizarre et bloquer la connection. C'est ce qu'il y a de plus sûre.

[adsa]

Le 18/03/2022 à 09:56, Pahtath a dit :

TOTP (Time OTP) qui est supporté justement par les Yubikey 5.

Les Yubikey(s) sont des couteaux suisses de l'authentification, c'est impressionnant le nombre de méthodes supportées.  D'après les spécifications ces dernières peuvent gérer jusqu'à 32 services TOTP.  Ce qui est probablement suffisant pour la grande majorité des utilisateurs.

 

Le protocole U2F, géré lui aussi par les YK, en plus d'être beaucoup plus sûr que le TOTP (protection contre le phishing incluse dans le protocole), a l'avantage d'être illimité en nombre de sites/services. Et au final c'est également plus pratique et rapide d'utilisation: il suffit de connecter la clé et appuyer sur le bouton. A comparer avec l'ouverture de l'application TOTP, lire le code à 6 chiffres, le mémoriser et l'entrer sur le site.

[adsa]

Le 21/03/2022 à 11:13, jpp59 a dit :

Ta banque et l'authentification u2f fido

J'aimerais tellement trouver une banque qui gère ce protocole. Mais là ça devient HS...