Bon, j'étais passé à côté jusque maintenant : je ne souhaite pas donner mon n° de mobile à github, heureusement ils ont prévu d'autres possibilités.
Bon, Hello ça ne va pas le faire, vu que je n'ai ni de windows ni de MacOS à disposition. Il est un peu hors de question pour moi d'utiliser de l'authentification basée sur mes yeux ou mes empreintes digitales : la répudiation ne me plairait pas trop :/
Reste l'utilisation de clé ssh qui va un peu mieux me convenir :
- je peux en avoir plusieurs, évitant la possibilité de se faire éjecter
- je peux en enlever si j'égare une clé USB la contenant
- cela respecte le principe de DICP (disponibilité, intégrité, confidentialité, preuve / traçabilité)
Je n'utilise pas les services de google n'ayant pas de compte déclaré sur mon téléphone, f-droid.org me fournit suffisamment d'applications. Le jour où ma banque m'impose une application sur mon téléphone pour disposer de mon argent, elle devra la proposer sur f-droid.org :-)
donc bon, je lance ssh-keygen -t ed25519 -C github2FA ce qui me génère une clé publique que je peux trimballer
ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIJt6GFuislTYmpYjHjDQU8QBBD30jqdePFA31SVbnsJd github2FA
et je stocke la clé privé sur une clé USB que je conserve sur moi.
J'en génère d'autres que je stocke au cas-où chez moi, chez un pote, dans notre fablab… des lieux dont je maîtrise l'accès et la disponibilité.
moui, les clés sha-1 sont cassées (suffit d'un peu de temps), les clés sha-2 de 4096 octets, c'est lourd à utiliser, le rot-13 un peu trop facilement réversible.
et vous, comment gérez-vous votre identité ?
# TOTP
Posté par Psychofox (Mastodon) . Évalué à 10 (+25/-0). Dernière modification le 16 octobre 2024 à 07:32.
Je ne comprends pas trop ce commentaire, github propose TOTP comme 2FA qui n'impose ni le numéro de téléphone, ni la biométrie.
Tu peux utiliser l'appli TOTP de ton choix sur ton ordi, ton smartphone (j'utilise Aegis, dispo sur f-droid, totp est aussi disponible directement dans pas mal d'appli de gestion de mots de passe comme keypass) ou autre.
[^] # Re: TOTP
Posté par BAud (site web personnel) . Évalué à 4 (+5/-3).
euh bin l'idée c'était de battre en brèche 2FA == n° mobile
merci de ta réponse qui flingue ipso facto ma réflexion :p et oui, TOTP est la réponse, tout le monde ne sait pas l'utiliser pour autant…
[^] # Re: TOTP
Posté par Psychofox (Mastodon) . Évalué à 10 (+8/-0). Dernière modification le 16 octobre 2024 à 09:34.
Soit dit en passant je crois que l'intersection des populations qui répond aux critères suivant doit être assez réduite:
[^] # Re: TOTP
Posté par BAud (site web personnel) . Évalué à 2 (+0/-0). Dernière modification le 22 octobre 2024 à 01:46.
bin j'ai posté un nourjal sur LinuxFr.org justement pour cela :D
J'ai justement parlé de ssh et ed25519 parce que ça me suffisait jusque maintenant, même si j'utilise de temps en temps l'interface web de github pour des commits ou des pull-requests simplissimes et là le 2FA de github stait pas encore obligatoire.
Pour l'instant, j'ai retenu Aegis (j'ai une base autre pour mes mots de passe) :
exit bitwarden qui ne me convient pas (serveur non maîtrisé), ainsi que 2FAS (pas encore disponible dans f-droid). Je re-regarderai peut-être FreeOTP et FreeOTP+ (dispos dans f-droid)
Il me reste à voir :
je reviendrai là-dessus pour chiffrer efficacement (non pas rot13 /o\) :p ↩
[^] # Re: TOTP
Posté par devnewton 🍺 (site web personnel) . Évalué à 10 (+8/-0).
Il y a aussi des extensions pour brouteur pour TOTP, ce qui est très pratique pour avoir les deux facteurs au même endroit !
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
[^] # Re: TOTP
Posté par BAud (site web personnel) . Évalué à 5 (+3/-0).
c'est absurde, ce pour quoi je n'ai pas d'appli bancaire sur mon mobile
[^] # Re: TOTP
Posté par Christophe . Évalué à 6 (+4/-0).
Ce n'est pas parce que ton login/password Github a fuité que ta clé de génération TOTP a fuité aussi…
Et si ton browser est compromis, je ne suis pas sûr que ça change grand chose.
[^] # Re: TOTP
Posté par aiolos . Évalué à 7 (+5/-0).
Il n'a jamais été dit que les deux facteurs ne devaient pas se trouver au même endroit pour l'authentification forte. Uniquement qu'il fallait 2 facteurs parmi les trois suivants :
- ce que sais (code) ;
- ce que je possède (carte/téléphone/etc.) ;
- ce que je suis (biométrie).
Les cartes à puce, par exemple les cartes bancaires, proposent directement deux facteurs sur un seul support : ce que je possède (la carte, via la clef qui y est stockée) et ce que je sais (le code PIN). C'est pourtant considéré comme une solution d'authentification forte.
Dans le cas d'une appli bancaire sur ton téléphone, tu peux avoir deux facteurs : ce que je possède via la clef spécifique à l'instance de l'appli et ce que je suis (via la biométrie du téléphone) ou ce que je connais (via un mot de passe d'appli).
Pour les TOTPs, le but était d'ajouter au mot de passe (ce que je sais), une preuve de possession d'un autre appareil (qui stocke la clef du TOTP), mais depuis le temps, cette idée s'est galvaudée et on lit tout et n'importe quoi. C'est pour ça que FIDO est passé d'un protocole qui permettait et l'authentification et le second facteur à un seul protocole de 2FA, proche de celui proposé pour l'authentification en première instance : la sécurité perçue est plus grande, alors même que la clef FIDO pourrait suffire à elle seule.
Il n'en reste pas moins que les solutions de 2FA sont aujourd'hui la solution la plus simple pour se prémunir du fishing, du moins tant que ce sera plus rentable d'attaquer les gens non équipés que de développer un fishing qui attaque directement le 2FA…
[^] # Re: TOTP
Posté par sebas . Évalué à 6 (+4/-0). Dernière modification le 16 octobre 2024 à 12:50.
… ce qui a d'ailleurs déjà commencé : Une vaste campagne phishing contre les clients microsoft365 contourne l'authentification multifacteur. Évidemment, c'est beaucoup plus complexe à mettre en œuvre.
[^] # Re: TOTP
Posté par Xanatos . Évalué à 3 (+1/-0).
En 2022.
Cela dit, les grosses DSI qui passent en 0365 et qui ont la mauvaise idée d'utiliser les mêmes auth pour connexion externe & AD interne mettent leur sécu en PLS.
[^] # Re: TOTP
Posté par aiolos . Évalué à 2 (+0/-0).
Oui, plus que le développement de ce type de fishing, qui effectivement existe déjà, c'est leur mise en uvre qui est coûteuse. Notamment parce que c'est des attaques à faire de façon synchrone…
[^] # Re: TOTP
Posté par raphj . Évalué à 2 (+0/-0). Dernière modification le 16 octobre 2024 à 21:01.
Oui. J'utilise Keysmith, une application KDE, ça fonctionne bien.
# OTP vs clé ssh
Posté par slc66 . Évalué à 5 (+5/-0).
La double authentication avec OTP et les clés ssh sont pour moi deux sujets distincts.
Perso, j'ai longtemps utilisé andOTP et maintenant j'utilise 2FAS disponible sous forme d'apk si l'on ne veut pas passer par Play Store.
[^] # Re: OTP vs clé ssh
Posté par BAud (site web personnel) . Évalué à 2 (+1/-1). Dernière modification le 16 octobre 2024 à 08:37.
à proposer sur f-droid si la licence le permet :-)
# Yubikey
Posté par gUI (Mastodon) . Évalué à 7 (+5/-1).
J'ai sauté le pas il y a 2 ans je pense, je voulais tenter pour voir si ça supporte le quotidien. Ma réponse est sans appel : oui.
L'objet lui-même est vraiment robuste. Il est dans ma poche avec mes clés de maison (j'ai toujours mon porte clés sur moi) et marche toujours comme au premier jour.
C'est pratique et rapide (surtout depuis que FF le supporte en natif), et ça marche tout autant depuis le smartphone (NFC).
Bref c'est top, seul inconvénient et pas des moindres : tout le monde ne le supporte pas, par exemple… GitHub :|
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Yubikey
Posté par zurvan . Évalué à 10 (+8/-0).
et pourtant si, Github permet l'authentification par Yubikey, j'ai la mienne configurée ainsi depuis août de l'année dernière, dans les options (à Password and authentication, à Two-factor methods), là où tu peux rajouter une "Authenticator app" (FreeOTP+ par exemple), il y a également l'option "Security keys" (Security keys are webauthn credentials that can only be used as a second factor of authentication) où on peut avoir une clé Yubikey.
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Yubikey
Posté par gUI (Mastodon) . Évalué à 8 (+5/-0).
Quel con, elle était déjà configurée en plus ^^
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
[^] # Re: Yubikey
Posté par Buf (Mastodon) . Évalué à 9 (+7/-0).
Un autre "inconvénient", mais intrinsèquement lié à la sécurité de la Yubikey, c'est qu'il n'est pas possible d'en faire un backup, donc si l'objet physique est perdu ou détruit, on perd ses accès.
Il faut en être bien conscient et toujours prévoir une solution de secours. Typiquement, ça sera une autre Yubikey, stockée ailleurs, et/ou des codes de récupération imprimés et stockés en sécurité.
[^] # Re: Yubikey
Posté par Xanatos . Évalué à 5 (+3/-0).
Oui, changement de paradigme, il faut N clés physique pour la redondance ; bien pour ça que j'avais pris le pack token2 au même tarif que 1 yubikey.
Pour le matériel moderne avare en USB prenez des hubs, toujours utile.
[^] # Re: Yubikey
Posté par devnewton 🍺 (site web personnel) . Évalué à 7 (+5/-1). Dernière modification le 16 octobre 2024 à 10:16.
Il y a aussi d'autres inconvénients majeurs :
Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.
# Comment ça s'utilise
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
Tu ne décris pas comment ça s'utilise. Une fois que ta clef SSH est créé comment t'en sert tu pour t'authentifier ?
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Comment ça s'utilise
Posté par zurvan . Évalué à 3 (+3/-2).
comme évoqué plus haut, le 2FA et la clé SSH sont deux choses différentes.
Le 2FA c'est pour s'authentifier sur le site github par un second moyen en plus du mot de passe (qui peut être deviné / compromis). Ce second moyen, via un TOTP (https://fr.wikipedia.org/wiki/Mot_de_passe_%C3%A0_usage_unique_bas%C3%A9_sur_le_temps) oblige par exemple à utiliser une appli sur smartphone qui génère un code unique, traditionnellement c'est avec google authenticator mais il est possible d'avoir une appli libre et indépendante. D'autre part si on n'a pas android on peut également utiliser un logiciel libre sur son PC comme KeepassXC pour générer ce code.
La clé ssh c'est pour envoyer des commits git depuis son PC. La clé ssh à utiliser étant configurable et modifiable depuis l'interface github, le 2FA expliqué plus haut offre une protection supplémentaire pour éviter des commits malveillants.
On ne peut a priori pas s'authentifier sur le site github en utilisant sa clé ssh (ou alors j'ai loupé un truc)
« Le pouvoir des Tripodes dépendait de la résignation des hommes à l'esclavage. » -- John Christopher
[^] # Re: Comment ça s'utilise
Posté par barmic 🦦 . Évalué à 3 (+1/-0).
C'était toute ma question puisque le journal parle justement de s'en servir comme second facteur.
https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll
[^] # Re: Comment ça s'utilise
Posté par Psychofox (Mastodon) . Évalué à 6 (+3/-0).
J'avoue que j'étais aussi perdu à ce sujet.
D'ailleurs ça me semble bizarre que quelqu'un ait pu utiliser github pendant des mois/années sans utiliser ssh. L'auteur du journal utilisait-il les adresses https des repos auquel il contribuait comme
git remote? Ça ne me parait pas très user-friendly.[^] # Re: Comment ça s'utilise
Posté par Guillawme (site web personnel, Mastodon) . Évalué à 3 (+2/-0).
Je ne sais pas si c’est encore possible, mais pendant longtemps on pouvait faire
git pushsur l’adresse HTTPS du dépôt, et ça demandait systématiquement le mot de passe du compte. Couplé à un gestionnaire de mots de passe qui fournit le mot de passe à git automatiquement, l’expérience utilisateur est identique à celle d’une clé SSH.[^] # Re: Comment ça s'utilise
Posté par jihele . Évalué à 3 (+1/-0).
Je crois que ça fait longtemps que ce n'est plus possible et qu'il faut une clé SSH.
[^] # Re: Comment ça s'utilise
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4 (+2/-0).
Je confirme que ce n’est plus possible …en mode normal et qu’il faut (si cela n’a pas changé) définir et utiliser un jeton d’accès
https://docs.github.com/en/get-started/getting-started-with-git/about-remote-repositories#cloning-with-https-urls
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
# Sans mobile.
Posté par Xanatos . Évalué à 5 (+3/-0).
L'avantage des Yubikeys sont leur popularité.
Certains services permettent du OTP via Yubikey seulement (Github, Infomaniak), ma solution sera le générateur TOTP de KeepassXC.
J'ai pris 2 clés token2 à l'époque (FIDO U2F + FIDO2.1PRE + HOTP (HID Emulation)) pour la redondance.
Dans le cas de Github, d'abord enregistrer un TOTP avec Keepass, puis associer les clés.
Je les utilise sur Proton, Github, Boursorama.
# passkey
Posté par Charlie . Évalué à 2 (+2/-0).
Personnellement, donner mon numéro à GitHub ne me dérange pas, mais je ne m'en sers pas pour 2FA.
J'utilise une passkey, gérée par Bitwarden.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.