Journal ultimatum de github pour passer au 2FA

Posté par  (site web personnel) . Licence CC By‑SA.
Étiquettes : aucune
0
16
oct.
2024

Bon, j'étais passé à côté jusque maintenant : je ne souhaite pas donner mon n° de mobile à github, heureusement ils ont prévu d'autres possibilités.

https://github.blog/news-insights/product-news/raising-the-bar-for-software-security-github-2fa-begins-march-13/

Bon, Hello ça ne va pas le faire, vu que je n'ai ni de windows ni de MacOS à disposition. Il est un peu hors de question pour moi d'utiliser de l'authentification basée sur mes yeux ou mes empreintes digitales : la répudiation ne me plairait pas trop :/

Reste l'utilisation de clé ssh qui va un peu mieux me convenir :

  • je peux en avoir plusieurs, évitant la possibilité de se faire éjecter
  • je peux en enlever si j'égare une clé USB la contenant
  • cela respecte le principe de DICP (disponibilité, intégrité, confidentialité, preuve / traçabilité)

Je n'utilise pas les services de google n'ayant pas de compte déclaré sur mon téléphone, f-droid.org me fournit suffisamment d'applications. Le jour où ma banque m'impose une application sur mon téléphone pour disposer de mon argent, elle devra la proposer sur f-droid.org :-)

donc bon, je lance ssh-keygen -t ed25519 -C github2FA ce qui me génère une clé publique que je peux trimballer
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJt6GFuislTYmpYjHjDQU8QBBD30jqdePFA31SVbnsJd github2FA

et je stocke la clé privé sur une clé USB que je conserve sur moi.
J'en génère d'autres que je stocke au cas-où chez moi, chez un pote, dans notre fablab… des lieux dont je maîtrise l'accès et la disponibilité.

moui, les clés sha-1 sont cassées (suffit d'un peu de temps), les clés sha-2 de 4096 octets, c'est lourd à utiliser, le rot-13 un peu trop facilement réversible.

et vous, comment gérez-vous votre identité ?

  • # TOTP

    Posté par  (Mastodon) . Évalué à 10 (+12/-0). Dernière modification le 16 octobre 2024 à 07:32.

    […] je ne souhaite pas donner mon n° de mobile à github, heureusement ils ont prévu d'autres possibilités. […] Bon, Hello ça ne va pas le faire, vu que je n'ai ni de windows ni de MacOS à disposition. Il est un peu hors de question pour moi d'utiliser de l'authentification basée sur mes yeux ou mes empreintes digitales : la répudiation ne me plairait pas trop :/

    Je ne comprends pas trop ce commentaire, github propose TOTP comme 2FA qui n'impose ni le numéro de téléphone, ni la biométrie.

    Tu peux utiliser l'appli TOTP de ton choix sur ton ordi, ton smartphone (j'utilise Aegis, dispo sur f-droid, totp est aussi disponible directement dans pas mal d'appli de gestion de mots de passe comme keypass) ou autre.

    • [^] # Re: TOTP

      Posté par  (site web personnel) . Évalué à 1 (+2/-3).

      euh bin l'idée c'était de battre en brèche 2FA == n° mobile

      merci de ta réponse qui flingue ipso facto ma réflexion :p et oui, TOTP est la réponse, tout le monde ne sait pas l'utiliser pour autant…

      • [^] # Re: TOTP

        Posté par  (Mastodon) . Évalué à 3 (+0/-0). Dernière modification le 16 octobre 2024 à 09:34.

        Soit dit en passant je crois que l'intersection des populations qui répond aux critères suivant doit être assez réduite:

        • utilisent github
        • savent créer une clé ssh
        • ne savent pas utiliser TOTP ni se documenter là-dessus

    • [^] # Re: TOTP

      Posté par  (site web personnel) . Évalué à 5 (+2/-0).

      Il y a aussi des extensions pour brouteur pour TOTP, ce qui est très pratique pour avoir les deux facteurs au même endroit !

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: TOTP

        Posté par  (site web personnel) . Évalué à 3 (+1/-0).

        ce qui est très pratique pour avoir les deux facteurs au même endroit !

        c'est absurde, ce pour quoi je n'ai pas d'appli bancaire sur mon mobile

        • [^] # Re: TOTP

          Posté par  . Évalué à 2 (+0/-0).

          Ce n'est pas parce que ton login/password Github a fuité que ta clé de génération TOTP a fuité aussi…
          Et si ton browser est compromis, je ne suis pas sûr que ça change grand chose.

        • [^] # Re: TOTP

          Posté par  . Évalué à 3 (+1/-0).

          Il n'a jamais été dit que les deux facteurs ne devaient pas se trouver au même endroit pour l'authentification forte. Uniquement qu'il fallait 2 facteurs parmi les trois suivants :
          - ce que sais (code) ;
          - ce que je possède (carte/téléphone/etc.) ;
          - ce que je suis (biométrie).

          Les cartes à puce, par exemple les cartes bancaires, proposent directement deux facteurs sur un seul support : ce que je possède (la carte, via la clef qui y est stockée) et ce que je sais (le code PIN). C'est pourtant considéré comme une solution d'authentification forte.

          Dans le cas d'une appli bancaire sur ton téléphone, tu peux avoir deux facteurs : ce que je possède via la clef spécifique à l'instance de l'appli et ce que je suis (via la biométrie du téléphone) ou ce que je connais (via un mot de passe d'appli).

          Pour les TOTPs, le but était d'ajouter au mot de passe (ce que je sais), une preuve de possession d'un autre appareil (qui stocke la clef du TOTP), mais depuis le temps, cette idée s'est galvaudée et on lit tout et n'importe quoi. C'est pour ça que FIDO est passé d'un protocole qui permettait et l'authentification et le second facteur à un seul protocole de 2FA, proche de celui proposé pour l'authentification en première instance : la sécurité perçue est plus grande, alors même que la clef FIDO pourrait suffire à elle seule.

          Il n'en reste pas moins que les solutions de 2FA sont aujourd'hui la solution la plus simple pour se prémunir du fishing, du moins tant que ce sera plus rentable d'attaquer les gens non équipés que de développer un fishing qui attaque directement le 2FA…

  • # OTP vs clé ssh

    Posté par  . Évalué à 3 (+3/-0).

    La double authentication avec OTP et les clés ssh sont pour moi deux sujets distincts.

    Perso, j'ai longtemps utilisé andOTP et maintenant j'utilise 2FAS disponible sous forme d'apk si l'on ne veut pas passer par Play Store.

    • [^] # Re: OTP vs clé ssh

      Posté par  (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 16 octobre 2024 à 08:37.

      j'utilise 2FAS disponible sous forme d'apk si l'on ne veut pas passer par Play Store.

      à proposer sur f-droid si la licence le permet :-)

  • # Yubikey

    Posté par  (Mastodon) . Évalué à 4 (+2/-1).

    J'ai sauté le pas il y a 2 ans je pense, je voulais tenter pour voir si ça supporte le quotidien. Ma réponse est sans appel : oui.

    L'objet lui-même est vraiment robuste. Il est dans ma poche avec mes clés de maison (j'ai toujours mon porte clés sur moi) et marche toujours comme au premier jour.

    C'est pratique et rapide (surtout depuis que FF le supporte en natif), et ça marche tout autant depuis le smartphone (NFC).

    Bref c'est top, seul inconvénient et pas des moindres : tout le monde ne le supporte pas, par exemple… GitHub :|

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Yubikey

      Posté par  . Évalué à 6 (+4/-0).

      et pourtant si, Github permet l'authentification par Yubikey, j'ai la mienne configurée ainsi depuis août de l'année dernière, dans les options (à Password and authentication, à Two-factor methods), là où tu peux rajouter une "Authenticator app" (FreeOTP+ par exemple), il y a également l'option "Security keys" (Security keys are webauthn credentials that can only be used as a second factor of authentication) où on peut avoir une clé Yubikey.

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

      • [^] # Re: Yubikey

        Posté par  (Mastodon) . Évalué à 3 (+0/-0).

        Quel con, elle était déjà configurée en plus ^^

        En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Yubikey

      Posté par  (Mastodon) . Évalué à 2 (+0/-0).

      Un autre "inconvénient", mais intrinsèquement lié à la sécurité de la Yubikey, c'est qu'il n'est pas possible d'en faire un backup, donc si l'objet physique est perdu ou détruit, on perd ses accès.

      Il faut en être bien conscient et toujours prévoir une solution de secours. Typiquement, ça sera une autre Yubikey, stockée ailleurs, et/ou des codes de récupération imprimés et stockés en sécurité.

    • [^] # Re: Yubikey

      Posté par  (site web personnel) . Évalué à 3 (+0/-0). Dernière modification le 16 octobre 2024 à 10:16.

      Il y a aussi d'autres inconvénients majeurs :

      • on manque souvent de ports usb sur les PC portables ;
      • la clef est facile à perdre ;
      • ça fait du matériel en plus (la planète ne vous dit pas merci).

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

  • # Comment ça s'utilise

    Posté par  . Évalué à 3 (+1/-0).

    Tu ne décris pas comment ça s'utilise. Une fois que ta clef SSH est créé comment t'en sert tu pour t'authentifier ?

    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

    • [^] # Re: Comment ça s'utilise

      Posté par  . Évalué à 0 (+0/-2).

      comme évoqué plus haut, le 2FA et la clé SSH sont deux choses différentes.

      Le 2FA c'est pour s'authentifier sur le site github par un second moyen en plus du mot de passe (qui peut être deviné / compromis). Ce second moyen, via un TOTP (https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique_bas%C3%A9_sur_le_temps) oblige par exemple à utiliser une appli sur smartphone qui génère un code unique, traditionnellement c'est avec google authenticator mais il est possible d'avoir une appli libre et indépendante. D'autre part si on n'a pas android on peut également utiliser un logiciel libre sur son PC comme KeepassXC pour générer ce code.

      La clé ssh c'est pour envoyer des commits git depuis son PC. La clé ssh à utiliser étant configurable et modifiable depuis l'interface github, le 2FA expliqué plus haut offre une protection supplémentaire pour éviter des commits malveillants.

      On ne peut a priori pas s'authentifier sur le site github en utilisant sa clé ssh (ou alors j'ai loupé un truc)

      « Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher

  • # Sans mobile.

    Posté par  . Évalué à 2 (+0/-0).

    L'avantage des Yubikeys sont leur popularité.
    Certains services permettent du OTP via Yubikey seulement (Github, Infomaniak), ma solution sera le générateur TOTP de KeepassXC.
    J'ai pris 2 clés token2 à l'époque (FIDO U2F + FIDO2.1PRE + HOTP (HID Emulation)) pour la redondance.
    Dans le cas de Github, d'abord enregistrer un TOTP avec Keepass, puis associer les clés.
    Je les utilise sur Proton, Github, Boursorama.

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.