Aller au contenu
Shazam!

Double Authentification sur le compte Tesla

Messages recommandés

Bonne vidéo d'explication sauf que c'est pas 15 sec mais 30sec pour le changement et y a pas de stress a avoir car une marge est prévue car l'horloge de l'appareil qui génère le code (le smartphone typiquement) et le serveur peuvent être décalé. Typiquement les 3/4 code précédents et suivants sont acceptés.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 18/03/2022 à 14:17, Pahtath a dit :

Non, car cet accès ne requiert pas de 2FA et n'est pas par exemple mon Google Drive.

 

Je vais pas faire des dessins plus explicites mais j'ai moyen de me connecter à un espace sécurisé et d'aller déverrouiller un fichier suivant un algo de cryptage particulier.

 

EDIT : bon, allez, je me dis que ça vaut le coup de montrer l'outil révolutionnaire :

https://www.linuxtricks.fr/wiki/chiffrer-des-fichiers-par-mot-de-passe-avec-gnupg

 

Sympa l'astuce 👍

En plus sur le site d'Adrien, que je lis/regarde régulièrement.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 18/03/2022 à 17:14, LeLutin a dit :

Sympa l'astuce 👍

En plus sur le site d'Adrien, que je lis/regarde régulièrement.

Attention par contre, l'algo standard d'encryptage symétrique change en fonction des versions GnuPG. Ils sont tous plus ou moins robustes mais c'est mieux de forcer à utiliser AES256 en rajoutant l'option --cipher-algo AES256

 

Et on rappelera à toutes fins utiles que la robustesse de l'encryptage dépend directement de la phrase de passe. Plus elle sera complexe, plus la sécurité sera garantie.

 

Enfin, pour les nombreux qui n'ont pas Linux mais qui ont Android, il existe l'appli OpenKeyChain qui permet d'encryper symétriquement.

Partager ce message


Lien à poster
Partager sur d’autres sites

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

Modifié par BRETON38

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 19/03/2022 à 13:13, BRETON38 a dit :

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

Je pourrais mettre ma carte bleue sur ton compte et payer tes recharges !!!

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 19/03/2022 à 13:13, BRETON38 a dit :

Prenons le pb à l'envers. Que risque t'on réellement si on ne fait rien? Probabilité et criticité en fait avant de rajouter encore des étages à la fusée protection du compte.

 

Ne jamais sous-estimer les capacités de nuisance d'un hacker, il sera forcément plus inventif que vous.

 

Par exemple, il pourrait décider de changer le MDP et ensuite de transférer la propriété de la voiture, ou encore de faire acheter le FSD juste par esprit retors.

 

Après, pour moi le 2FA est une question de principe, un peu comme un cambriolage : le fait que quelqu'un puisse s'introduire chez moi est fort émotionnellement, et j'applique ce même principe à mes comptes principaux.

Surtout quand un de ces comptes est directement lié au 2nd plus gros investissement matériel que je possède.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 19/03/2022 à 21:53, jpp59 a dit :

Transfert propriété et achats fsd c'est annulable en contactant le support. Même si c'est chiant, on se fait pas hacker tous les jours...

Et on ne se connecte pas non plus tous les jours sur le site Tesla. Pour l'application ça n'a aucun impact car elle reste connectée même après redémarrage du téléphone. Du coup activer le 2FA ne présente franchement aucune contrainte.

C'est comme beaucoup de choses : on pense que ça n'arrive qu'aux autres jusqu'au jour où on doit gérer les merdes. En dehors de pouvoir géolocaliser la voiture et de l'ouvrir/démarrer (si pas de code Pin) le hacker peut acheter le FSD et s'amuser à la déplacer juste pour rigoler par exemple. Payer des recharges sur une non Tesla, etc...

Très franchement ça vaut le coup de faire un petit effort pour le mettre en place sachant qu'une fois fait ça n'entraîne aucune contrainte au jour le jour.

Et pour tout ce qui concerne le risque de perte du téléphone très franchement ça n'en est pas un : j'ai toujours la carte dans mon portefeuille et il ne me viendrait pas à l'idée de prendre le risque de ne reposer que sur le téléphone pour ouvrir la voiture. Sachant qu'on peut en plus en acheter plusieurs pour presque rien et que par ailleurs je pourrais aussi demander le téléphone d'un passant et contacter ma femme pour qu'elle me dévérouille et démarre la voiture à distance. Soit plus de possibilités de s'en sortir qu'avec une voiture classique ou si on perd les clés bin....

Modifié par nicothum

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 18:44, jpp59 a dit :

On me donne 1 eur chaque fois que quelqu'un serra emmerdé par le 2fa, je donne 1 eur chaque fois que quelqu'un se fait hacké, je pense gagner de l'argent...

Ok, merci, je pense que j'ai compris que tu ne souhaites pas obtenir le 2FA. C'est ton choix, je le respecte, tout comme je te demande de ne pas insister sur ce topic si tu n'y trouves aucune utilité personnelle, merci.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Ok je pense que après tous les arguments les gens peuvent se faire une idée du pour ou contre mais j'insistais a prévenir les gens car étant informaticien jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 19:36, jpp59 a dit :

Ok je pense que après tous les arguments les gens peuvent se faire une idée du pour ou contre mais j'insistais a prévenir les gens car étant informaticien jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

Pas compliqué à retenir 123.azerty !

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 19:36, jpp59 a dit :

jai plein de gens qui me demandent de les dépanner et qui savent même pas retenir leur mots de passe, alors le 2fa...

Pour moi, ce sont deux choses fondamentalement différentes d'un point de vue cognitif.

 

Dans le cas des identifiants, il faut effectivement faire appel à sa mémoire.

Dans le cas du 2FA, aucun besoin de se souvenir de quoi que ce soit, le site demande à donner le code à 6 chiffres qu'une application donne à l'instant T, donc l'effort est juste d'ouvrir ladite app.

 

PS : Vive les gestionnaires de mots de passe pour le premier souci. Tant qu'on est à parler de bonnes pratiques, choisissez un mdp simple à retenir mnémoniquement mais avec une graphie compliquée (le leetspeak est un bon exemple) et SURTOUT rendez ce mdp variable par site en le modifiant (avec par exemple un préfixe ou un suffixe) qui soit basé sur le site.

 

Un exemple ? AutoP;4z3RtY; est un mot de passe robuste et unique basé sur le fait qu'il est destiné à AutomobilePropre et il contient la chaîne AZERTY classique.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 21:00, Pahtath a dit :

Un exemple ? AutoP;4z3RtY; est un mot de passe robuste et unique basé sur le fait qu'il est destiné à AutomobilePropre et il contient la chaîne AZERTY classique.

Attention avec cette technique. Tous les sites ne sont pas si sécurisés que cela. Il suffirait d'une ou deux fuites pour identifier la partie fixe et variable du mot de passe. 

Alors oui c'est mieux que de réutiliser le même partout, mais un bon gestionnaire de mots de passe peut générer des mots de passe aléatoires et les enregistrer. 

Il suffit ensuite de n'en retentir qu'un seul, celui qui déverrouille (déchiffre) le gestionnaire de mots de passe. Par contre il faut un excellent mot de passe pour protéger tous les autres.

 

Alors comment créer un unique très bon mot de passe et le retenir? Il y a plusieurs écoles. 

L'ANSSI, si je me souviens bien, préconise de se choisir une phase, éventuellement en ne gardant que la première lettre de chaque mot.

 

Une seconde méthode que j'aime aussi beaucoup consiste à tirer au hasard (j'insiste sur le fait que le hasard doit sélectionner ces mots) plusieurs mots. L'idée avait été présentée par xkcd puis reprise par différents sites qui proposent des générateur s'en inspirant.

 

https://xkcd.com/936/

https://www.correcthorsebatterystaple.net/

 

Dans tous les cas l'idée pour protéger ses comptes est d'accepter que les humains sont mauvais pour créer de nombreux mots de passe uniques et robustes et les retenir.

L'authentification double facteur permet de partiellement compenser cette faiblesse.

Les gestionnaires de mots de passe également.  

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 23:00, adsa a dit :

Attention avec cette technique. Tous les sites ne sont pas si sécurisés que cela. Il suffirait d'une ou deux fuites pour identifier la partie fixe et variable du mot de passe. 

 

J'avoue, mon exemple est effectivement incorrect, mea culpa. Perso, j'ai fondu la partie variable avec la partie fixe sans ponctuation entre et avec une partie variable moins évidente.

Bon, en tout cas, l'idée est juste de dire qu'il faut considérer les mots de passe comme des secrets à durée de vie extrêmement courte, qui plus est si le MDP est partagé sur plusieurs sites, d'où la nécessité d'en avoir des uniques.

 

Et comme il est extrêmement facile d'accéder à des listes de couples id/MDP (suffit de regarder l'actualité avec la fin de Raidforums ou autres...),  on comprend vite le besoin du 2FA :

 

https://www.futura-sciences.com/tech/actualites/cybersecurite-huit-milliards-mots-passe-devoiles-forum-87913/

Partager ce message


Lien à poster
Partager sur d’autres sites

Encore des journalistes qui savent rien ,la liste rockyou c'est du pipo, les 9 milliards sont pour la plupart juste des mots, pas des mots de passe leak. La plus grosse base c'est ihavebeenpowned qui a 800millions mots de passe leak.



On derive hors sujet la non?

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 20/03/2022 à 23:44, jpp59 a dit :

On derive hors sujet la non?

HS, le fait de montrer la fragilité du couple identifiant/mot de passe pour justifier le 2FA, surtout pour un site qui donne accès à ma voiture ?

 

Franchement, j'aimerais bien que les Impôts ou encore mes différents fournisseurs d'énergie fassent pareil...

 

EDIT Erratum, le fisc le fait 

https://www.impots.gouv.fr/particulier/questions/comment-renforcer-la-securite-de-lacces-mon-espace-particulier

 

Perso je m'occupe de l'activer dès demain.

 

EDIT 2 : Lu trop vite, la DGFiP ne fournit le SMS de confirmation que sur le changement de MDP ou la demande de numéro fiscal, dommage.

Bon, là c'est du vrai HS.

Modifié par Pahtath

Partager ce message


Lien à poster
Partager sur d’autres sites

Si j'ai tout bien compris il faut télécharger une application d'authentification, quelconque, mot important, pour sécuriser l'accès au compte Tesla.

 

Peut-on faire confiance à une application d'authentification quelconque, en particulier celle signée Google ?

 

Accessoirement ma banque me demande d'utiliser la reconnaissance digitale de mon égophone; c'est un équivalent j'imagine ?

Modifié par JPMain

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 21/03/2022 à 06:35, JPMain a dit :

Peut-on faire confiance à une application d'authentification quelconque, en particulier celle signée Google ?

Excellente et compréhensible remarque connaissant le passif de Google sur la vie privée. FreeOTP, AndOTP et FreeOTP+ sont des applications opensource et maintenues par une communauté.

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Peu de solutions open source qui propose un backup simple. Quand tu transfér les données sur un nouveau téléphone généralement c'est pas transféré, donc soi bien garder la seed (c'est le qrcode ou une chaîne de caractères d'une 30aine de lettre) soit bien garder la liste des code de secours car il faudra se loguer, désactiver le 2fa puis le réactiver avec le nouveau téléphone.
Pour éviter cela moi j'utilise Authy, qui a une bonne réputation et qui sauvegarde dans son cloud avec encryption par une phrase de passe.(passphrase).

Partager ce message


Lien à poster
Partager sur d’autres sites

Ah et sinon, pour l'appli de ta banque, c'est plutôt comme le u2f fido que totp. Totp reste ataquable en Man in the middle (quelq'un qui se positionne entre toi et le site) ou phishing (quelq'un qui te redirige et te fais croire que t es sur le site de la banque, mais t es sur une simulation du site, il va prendre ton login, mots de passe, et token totp qu'il va utiliser de suite pour se connecter à ta place).
Ta banque et l'authentification u2f fido s'assure que le canal de communication est sécurisé (TLS) et que le certificat du site correspond bien au site lié à ton token. Il n y a pas de saisi au clavier.
Il y a même un compteur dans ta clé qui s incremente a chaque connexion, comme ça si quelqu'un arrive a dupliquer ta clé (difficile à faire quand même) et bien le site va voir que le compteur est bizarre et bloquer la connection. C'est ce qu'il y a de plus sûre.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 18/03/2022 à 09:56, Pahtath a dit :

TOTP (Time OTP) qui est supporté justement par les Yubikey 5.

Les Yubikey(s) sont des couteaux suisses de l'authentification, c'est impressionnant le nombre de méthodes supportées.  D'après les spécifications ces dernières peuvent gérer jusqu'à 32 services TOTP.  Ce qui est probablement suffisant pour la grande majorité des utilisateurs.

 

Le protocole U2F, géré lui aussi par les YK, en plus d'être beaucoup plus sûr que le TOTP (protection contre le phishing incluse dans le protocole), a l'avantage d'être illimité en nombre de sites/services. Et au final c'est également plus pratique et rapide d'utilisation: il suffit de connecter la clé et appuyer sur le bouton. A comparer avec l'ouverture de l'application TOTP, lire le code à 6 chiffres, le mémoriser et l'entrer sur le site.

Partager ce message


Lien à poster
Partager sur d’autres sites

Le 21/03/2022 à 11:13, jpp59 a dit :

Ta banque et l'authentification u2f fido

J'aimerais tellement trouver une banque qui gère ce protocole. Mais là ça devient HS...

Partager ce message


Lien à poster
Partager sur d’autres sites



  • Contenu similaire

    • Par khal
      Bonjour à tous !
       
      Il m'est arrivé un souci assez inquiétant il y a qq semaines et je voulais savoir si d'autres personnes étaient concernées.
      Ça s'est passé le 17/12, quand il faisait -4°C dehors.
      J'étais à l'arrêt dans une file d'attente et la voiture s'est mise à avancer toute seule pour rentrer dans la voiture devant (je discutais avec le passager, pas eu le temps de réagir).
      J'ai d'abord cru avoir appuyé sur l'accélérateur sans m'en rendre compte mais pour en être sûr j'ai fait le test juste après : appui léger sur l'accélérateur puis relâcher la pédale, puis appui sur le frein. Le message "pédale d'accélération enfoncée" (ou qqchose du genre) s'est affiché sur le tableau de bord.
      J'ai précisé en début de message qu'il faisait -4°C dehors en supposant que ça pouvait avoir un lien (la voiture avait roulé 30mn seulement avant ça), mais comme je n'ai aucune idée de comment l'accélération fonctionne (câble ? huile ? autre ?) ça n'a peut-être rien à voir.
       
      Est-ce arrivé à d'autres personnes ?
       
      ps : j'ai pris rdv par l'app.
    • Par JOM
      Bonjour les vriboudis . Pour celles ou ceux qui ont l'option .
      Mon I3S de 2020 ne garde pas l'option ' sécurité piétons ' cochée dans le menu de l'application . "Avertissement collision" reste coché, pas ' détection piétons ' . Quelqu'un a le même problème ? Merci
    • Par Arrow
      Bj à tous
       
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
       
      Merci
      Futur possesseur de SR+, ... normalement
       

    • Par Arrow
      Bj à tous
      Je souhaiterais votre retour d'expérience sur l'usage de l'affichage tête haute dans la Tesla model 3, fournisseur, prix, usage au quotidien, branchement ou installateur qui l'a installé, défauts possibles, consommation, ...
      Merci
      Futur possesseur de SR+, ... normalement
    • Par gusti
      Bonjour à tous, 
      9 ans que j'ai ma Leaf 24 et 140 000 km et hier il m'arrive un accident vraiment con. Je me gare devant une boîte aux lettres pour y poster 2 cartes postales. Pied sur le frein, je chope les cartes, ouvre la portière, sors de la voiture et me dirige vers la boîte en contournant la leaf par l'arrière et là, je la vois partir toute seule ! Le temps de sauter à l'intérieur, il était trop tard, elle s'est arrêtée contre un panneau de signalisation planté au milieu du trottoir ! Meeeerrrde !
      Confinement oblige, personne ne m'a vu, j'aurais eu trop honte...
      Bon y a pas trop de mal, j'ai pu redresser le pare-chocs plastique et remettre l'antibrouillard en place. Il reste des fissures autour de l'antibrouillard et de la peinture craquelée...
      J'espère que ça vous fait bien rire, mais ce message est aussi là pour vous prévenir. Je suis sorti de la voiture sans la mettre en mode Parking, c'est pourquoi elle est partie dès que j'ai relâché le frein. Je pense qu'il y a un grave défaut de sécurité parce que cette situation pourrait parfaitement  être détectée : voiture à l'arrêt, portière qui s'ouvre, sélecteur en mode marche AV ou AR, perte de présence du conducteur tout ça c'est détecté.
      Vérifiez sur vos véhicules et prenez soin de vous !
      Gusti


×
×
  • Créer...
Automobile Propre

Automobile Propre est un site d'information communautaire qui est dédié à tout ce qui concerne l'automobile et l'environnement. Les thématiques les plus populaires de notre blog auto sont la voiture électrique et les hybrides, mais nous abordons également la voiture GNV / GPL, les auto à l'hydrogène, les apects politiques et environnementaux liés à l'automobile. Les internautes sont invités à réagir aux articles du blog dans les commentaires, mais également dans les différents forums qui sont mis à leur dispositon. Le plus populaire d'entre eux est certainement le forum voiture électrique qui centralise les discussions relatives à l'arrivée de ces nouveaux véhicules. Un lexique centralise les définitions des principaux mots techniques utilisés sur le blog, tandis qu'une base de données des voitures (commercialisées ou non) recense les voitures électriques et hybrides.