J'utilise Bitwarden pour la gestion familiale des mots de passe depuis plusieurs années, et globalement, c'est chouette. Je paye pour l'hébergement via les offres commerciales, mais on peut l'héberger soi-même, ou utiliser Vaultwarden qui est compatible avec le client officiel Bitwarden1.
Une fonction très pratique est de pouvoir stocker les jetons TOTP pour la double authentification2. Quand on y réfléchi un peu, on se trouve rapidement à considérer que c'est un peu faire non plus de l'authentification à 2 facteurs, mais plutôt à 1,5 facteurs… Tout est dans le même coffre-fort, même si l'accès à ce coffre est lui-même multifactoriel3.
On peut déblatérer des heures sur fond du sujet, c'est un équilibre entre niveau de sécurité et confort, chacun·e place le curseur où bon lui semble, parfois même en connaissance de cause.
J'utilisais donc prioritairement ma Yubikey pour la MFA, et les TOTP quand la Yubikey/Webauthn n'est pas supporté. N'ayant eu que récemment un smartphone, je stockais ces TOTP dans Bitwarden. Donc tous les œufs dans le même panier, d'une certaine manière.
Et puis cette année, j'ai remplacé mon Nokia 130 par un smartphone (à cause de l'Identité Numérique et France Connect+). Donc je me suis dit que je pouvais maintenant extraire les secrets TOTP et les avoir dans une application dédiée. Sur Android, il y a Aegis en licence GPL 3.0, mais sur iOS, ce n'est pas disponible. En cherchant, on tombe rapidement sur Google Authenticator, Twilio Authy, celui de Microsoft, etc… Tous propriétaires et avec des possibilités de sauvegarde et de transfert du contenu plutôt limitées. Par exemple pour Authy, il faut se créer un compte chez Twilio.
Et donc aujourd'hui, je découvre que l'entreprise Bitwarden a publié Bitwarden Authenticator il y a quelques mois, pour iOS et Android, en licence GPL 3.0.
La doc est claire : l'appli est indépendante du coffre-fort, et les sauvegardes se font via le système de sauvegarde du téléphone.
Donc bye bye Authy, bonjour Bitwarden Authenticator !
Tout petit regret, je me dis que peut-être Bitwarden (l'entreprise) aurait pu contribuer ou financer une version pour iOS de Aegis, ça aurait une belle collaboration.
Et toi, tu gères comment ta MFA dans ce monde de brutes ?
- Bitwarden Authenticator, et ses codes sources pour Android et iOS
- Aegis Authenticator et son code source pour Android
- Vaultwarden et son code source
# TOTP
Posté par patrick_g (site web personnel) . Évalué à 7 (+4/-0).
Avec FreeOTP+ sous Android.
[^] # Re: TOTP
Posté par nishiki . Évalué à 1 (+0/-0).
J'aimerai bien savoir ce que fait de plus tous ces logiciels "Authenticator" par rapport à FreeOTP ou FreeOTP+ ?
[^] # Re: TOTP
Posté par flagos . Évalué à 2 (+0/-0).
C'est plus une question qu'autre chose: j'ai l'impression qu'il n'y a pas de sauvegarde automatique, il faut une sauvegarde manuelle.
[^] # Re: TOTP
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+0/-0).
C'est surtout, que parfois ils utilisent des protocoles un peu différent proprio. Des appels a des web-services? Des check d' "humanité" ou que c'est bien un comportement habituel sur le téléphone?
Mais certaines application ne font rien de plus. Je sais que j'ai déjà utilisé FreeOTP+ là ou l'on me demandais Google Authenticator (Je dis pas que ça marche tout le temps)…
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: TOTP
Posté par vpinon . Évalué à 3 (+1/-0).
Keysmith, soit sur Pinephone, soit sur Android via le repo F-Droid de KDE…
# 2FAS
Posté par Lol Zimmerli (site web personnel, Mastodon) . Évalué à 5 (+3/-0).
Avec https://2fas.com/ sur iOS & android.
Les sources sont sur GitHub: https://github.com/twofas
La gelée de coings est une chose à ne pas avaler de travers.
[^] # Re: 2FAS
Posté par pas_de_bol . Évalué à 1 (+1/-0).
Merci pour cette trouvaille!
[^] # Re: 2FAS
Posté par cg . Évalué à 2 (+0/-0).
Ça a l'air super chouette aussi, merci ! Pour utiliser l'extension de navigateur pour la synchro, il faut se monter un service quelque part ?
# J'utilise une Yubikey
Posté par Bilbo . Évalué à 3 (+2/-0). Dernière modification le 19 octobre 2024 à 18:09.
Comme toi, j'utilise une Yubikey pour mes 2FA en WebAuthn/FIDO. Mais je l'utilise aussi pour stocker mes tokens TOTP, avec l'application Yubico Authenticator, disponible sur Linux, Android et Windows, probablement dans le monde Apple aussi.
Ça marche bien, on peut l'utiliser en USB ou en NFC. On peut aussi y mettre un PIN pour authentifier le matériel qui lit la Yubikey. surtout utile pour protéger le NFC. Il y a une limitation à 64 tokens, je ne l'ai pas encore atteinte.
[^] # Re: J'utilise une Yubikey
Posté par cg . Évalué à 3 (+1/-0).
Intéressant, je n'avais pas vu cette fonctionnalité.
J'ai une Yubikey bleue depuis un bon bout de temps, qui ne fait que FIDO/WebAuthn (la pas chère à 25 balles).
Quand j'ai eu mon smartphone, j'ai découvert qu'il avait un composant NFC dedans. J'ai donc acheté une Yubikey 5 pour pouvoir l'utiliser avec et déverrouiller - entre autres - Bitwarden en NFC. Et là, grosse déception : sur le modèle que j'ai (un SE de première génération), le NFC n'est utilisable que par l'appli de paiement Apple. Du coup j'ai mis ma YK5 un peu de côté pour l'instant, mais je suis sûr qu'entre les certifs GPG, clés SSH, challenges pour LUKS et les TOTP, elle est promise à un bel avenir (et que j'ai pas intérêt à la perdre :D) !
[^] # Re: J'utilise une Yubikey
Posté par Bilbo . Évalué à 1 (+0/-0). Dernière modification le 19 octobre 2024 à 19:13.
La mienne stocke également ma clé OpenPGP, qui sert aussi de clé SSH. Elle est toujours sur mon porte clé.
Si je perds le porte clé, je suis dans la mouise jusqu'au cou : renouvellement de tous les tokens TOTP et FIDO, révocation de la clé OpenPGP, invalidation de la clé SSH, ça va me prendre une bonne journée de taf ! Sans compter le changement des barillets de la porte d'entrée !
J'ai jamais pensé à l'utiliser pour LUKS, si tu as de l'expérience là-dessus ou des liens vers de la doc, je suis preneur.
[^] # Re: J'utilise une Yubikey
Posté par cg . Évalué à 3 (+1/-0).
Je pourrais faire un petit journal là-dessus, car j'ai deux méthodes (une FIDO et une challenge), mais ça fait longtemps que je l'ai mis en place et j'ai pris aucune notes, faut que je révise d'abord :) !
En attendant, avec la méthode FIDO, je vois ça dans cryptsetup :
J'utilise systemd-boot comme bootloader, je ne sais pas si c'est important.
[^] # Re: J'utilise une Yubikey
Posté par Samuel (site web personnel) . Évalué à 2 (+1/-0).
J'ai rédigé un tutoriel ici même sur l'utilisation de clé GPG pour déchiffrer
/avec luks sous Debian, utilisant cryptsetup-keyscripts (cf. d'autres exemples pour différentes possibilités).C'est aussi possible en utilisant systemd-boot, comme l'évoque cg ci-dessus.
# L'appli de Microsoft
Posté par gUI (Mastodon) . Évalué à 4 (+1/-0).
Et je déconne même pas.
J'ai eu à l'installer pour le boulot, et finalement je l'utilise pas mal en perso (en plus d'une Yubikey qui est mon 2FA préféré). Vu que j'ai pas de vie avec Microsoft, je trouve qu'il y a un petit côté dissident à les utiliser que pour la sécu ^^
En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.
# La recherche dans l'AppStore
Posté par cg . Évalué à 2 (+0/-0).
J'ai écrit ce journal, car j'avais l'impression qu'une appli TOTP bien fichue et libre sur iOS, c'était rare. Donc suite aux différents commentaires à ce journal qui me prouvent que pas tant que ça, j'ai fait un test de recherche dans l'AppStore, avec "TOTP".
Et en effet, en 9ème position, je trouve 2FAS, et en 15ème FreeOTP. Cool !
Si je recherche directement "FreeOTP" ou "2FAS", ils sont en deuxième dans la liste :-/. Obtenir la première place semble demander d'avoir des moyens conséquents…
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.