Apple propose de standardiser les SMS avec code d’authentification
Apple propose de définir un standard pour les SMS associés à un code d’authentification, une pratique encore courante pour les services qui réclament un deuxième facteur. Son idée est de créer un format standard que les navigateurs et les apps pourront comprendre et exploiter, ce qui leur permettra de récupérer automatiquement les codes et de remplir l’information demandée par le site ou service. C’est précisément ce que Safari est capable de faire depuis plusieurs années.
La fonction créée par Apple marche d’ailleurs très bien, mais elle a un défaut : faute de standard, le constructeur a créé son propre algorithme pour détecter un code dans un SMS et aussi détecter le site ou service associé. C’est une tâche complexe pour n’oublier personne et en même temps ne pas faire n’importe quoi, par exemple en confondant un code d’authentification et un numéro de téléphone.
C’est pour simplifier les choses que la firme propose un standard que tous les navigateurs pourraient prendre en charge sans risque et sans effort. La proposition d’Apple est d’identifier les SMS associés à un code d’authentification avec une syntaxe très simple. Le code serait précédé d’un # et le nom de domaine du site ou service serait identifié par un @. Le SMS pourrait aussi proposer le code sous la forme d’une phrase comme c’est systématiquement le cas aujourd’hui, mais il y aurait aussi le code et le nom de domaine avec cette syntaxe.
Voici à quoi cela pourrait ressembler :
747723 is your FooBar authentication code.
@foobar.com #747723
Safari prend d’ores et déjà en charge cette syntaxe et Google la prendra aussi en charge dans une future version de Chrome. La seule inconnue côté navigateurs à ce stade est du côté de Firefox, Mozilla n’ayant pas fait part de son intérêt ou non pour la proposition à ce stade. Si tout le monde s’y met, les sites et services auront tout intérêt à adopter ce nouveau format.
C‘est une bonne chose, même s’il convient de rappeler que les SMS doivent être évités à tout prix pour l’authentification en deux facteurs. C’est la solution la moins fiable de toutes, parce qu’il est souvent trop facile d’obtenir une copie de votre carte SIM, compromettant par la même occasion la sécurité du système. Si vous en avez la possibilité, il est préférable d’opter pour une autre méthode, comme celle basée sur des codes générés par une app spécialisée comme Authy ou un gestionnaire de mots de passe comme 1Password.
Heu
Pour la double authentification il vaut mieux passer soit par l'application elle-même ( apple, paypal, la poste, google le font deja) soit par un e-mail
Par contre il est vrai que le SMS n'est pas du tout le plus sûr des moyens pour transmettre un identifiant ou même un numéro de vérification.
J'ajoute qu'un gestionnaire de mots de passe ne peux pas faire grand chose dans le cas d'une double authentification
@raoolito
1Password intègre la gestion de la double authentification (comme Authy ou Google authenticator), tous les gestionnaires de mots de passe ne le font pas.
@raoolito
Si, 1Password gère parfaitement les codes 2FA. Je ne sais pas pourquoi ce n’est pas mieux connu, mais c’est la meilleure solution pour moi, d’autant qu’il met automatiquement le code dans le presse papier donc il. Y a pas plus rapide.
Le SMS sont encore parfois la seule option. J’ignorais pour PayPal, mais installer leur app rien que pour ça…
@nicolasf
Merci pour l'info les gars !
( l'app paypal fait heureusement plus que cela ^^ )
@nicolasf
Le soucis de mettre tous les œufs dans le même panier est que si un jour il y a une faille chez 1Password, tous les sites en 2FA sont accessibles.
@turismo
C’est vrai, mais je suis prêt à faire cette concession en échange du confort au quotidien. 1Password existe depuis un paquet d’années et n’a jamais donné une raison de douter de sa sécurité donc ça me convient.
@nicolasf
J’ai jamais voulu laisser la gestion des mots de passe à une app. Est-ce vraiment bien ? Je suis très dubitatif
@Sindanárië
Ben oui, et depuis des années.
C’est quoi l’alternative ? Utiliser un seul mot de passe ? Tout écrire dans un cahier ? 🤔
@nicolasf
Un mot de passe (très fort) pour ton mail et ta banque, si possible différents l’un de l’autre, de l’authentification en 2 facteurs quand tu le peux puis un mot de passe unique généré par ton navigateur pour les autres sites que tu utilises rarement ou dont tu te fous. Pas besoin de le retenir : si tu veux te reconnecter tu passes par la fonction mot de passe oublié qui fait office d’OTP, One Time Password, la fonction la plus sécurisée possible (sous réserve d’avoir blindé ton mail) mais trop rarement proposée :(
@fornorst
Et ne pas mettre le mdp iCloud dans 1Password. Comme ça même en cas de piratage ils n’auront pas le principal.
@fornorst
Un mot de passe, pour une banque ? Mais vous vivez dans un univers parallèle ?? 😳
(Code à six chiffres obligatoire, c’est encore la norme pour moi… 🤦♂️)
@nicolasf
En vrai moi aussi sur ma banque principale (et avec un code à taper sur un pavé HTML vraiment deguelasse...) mais sur N26, j’ai un mot de passe plus sécurisé
@fornorst
Ah oui alors, pareil. Mais N26 reste secondaire pour moi.
@nicolasf
“Ben oui, et depuis des années.
C’est quoi l’alternative ? Utiliser un seul mot de passe ? Tout écrire dans un cahier ? 🤔”
Bah non. 😕
Juste ma mémoire et je travaille avec des séquences ou des formules pour retenir.
1- J’utilise des redirections ou alias mails uniques et différents pour chaque site/service ou app. quand il y’a besoin d’un mail.
Pour chaque service / site / app :
Mots de passe avec 10 caractères minimum.
Avec maj/min + caractères spéciaux et chiffres
Les mots de passe sont totalement différents pour chaque (pas de correspondance entre chaque mot de passe supérieure à 5 caractères).
Pour l’instant c’est tout de mémoire.
Pas encore besoin de 🖊 ou carnet.
Mais je deviens feignant avec l’âge. Et je demandais pour cela. Et oui quand t’arrive à des combinaisons de près de 110 mots de passe différents / adresses mails / sites / services à retenir c’est fatiguant parfois pour la mémoire.
@Sindanárië
C’est impressionnant mais je pense que ça reste inférieur à un gestionnaire de mot de passe qui permet de définir des mots de passe de trente caractères ou plus et sans aucune aide mémo technique à prendre en compte.
Et puis j’ai beaucoup trop d’identifiants et informations stockés dans 1Password pour tout retenir. Près de 1000 actuellement, même si un bon nombre ne me sert plus.
@nicolasf
Je passerai bien à OnePassword ou dashlane selon vos bons conseils à tous.
Les mots de passes sont générés automatiquement dans ces apps ? (comme la solution des mots de passe forts suggérés et générés par le trousseau Apple) ou bien ont peut les définir soit même ?
Ça me tracasse d’avoir des mots de passe générés sans les connaître moi même.
Je sais que dans les trousseaux Apple ont peut éventuellement les voir, ce dont je n’ai jamais besoin vu que je génère mes clés moi-même. Mais dans ces apps ?
@Sindanárië
Ces apps servent avant tout à enregistrer des mots de passe. Donc elles peuvent mémoriser ce que vous voulez.
Comme toi j'avais mémorisé plus ou moins 200 mots de passe complexes (15-20 caractères), j'ai même en tête des numéros de série de logiciels vieux de 20 ans et je commençais à m'emmêler les pinceaux. Je suis passé à Dashlane qui a allégé ma mémoire :-D
Il est bien mais je trouve qu'il manque de fonctions et il ne reconnaît pas toujours les champs ID des apps et sites sur les différents navigateurs iOS, Android, Windows et Mac. Peut-être d'autres sont mieux intégrés.
@nicolasf
Avez-vous essayé Bitwarden, avant 1password ? J'utilise un moyen mnémotechnique pour retenir tous les mots de passe différents à chaque fois (avec des parties communes tout de même), mais j'aimerais centraliser tout ça, et j'entends beaucoup de bien de Bitwarden, bien plus accessible financièrement.
@raoolito
Ici gestionnaire de mots de passe. Dès réception du sms remplissage auto du code.
Il faut aussi intégrer les codes générés par mail dans ce cas là
comme je l'ai fait remarqué à ma banque (corrigé depuis) il ne faut pas que le code soit au début du SMS.
Sinon la notification l'affiche sans avoir besoin de déverrouiller l'appareil (configuration par défaut des notifications)
@Un Type Vrai
Tu as quoi comme smartphone ?
Le téléphone pourrait également reconnaitre que c'est un sms contenant un code d'auth et à ce moment là peu importe les paramètres de notif du tel, il sera marqué "protégé" ou autre.
C'est vrai que 1Password gère le 2FA. J'utilise 1Password pour les mots de passe. Mais en revanche j'utilise Authy pour le 2FA (bien que moins ergonomique... il leur reste un peu de travail, en particulier sur Mac!).
Pourquoi ? Pour éviter d'annuler tout l'intérêt de 1Password. Si j'enregistre mot de passe et 2FA au même endroit, bah c'est comme si j'avais un seul moyen d'authentification... Sans compter que 1Password lui aussi est protégé par le 2FA, et qu'on est donc bien obligé d'avoir une autre application, histoire de ne pas enfermer dans le coffre sa propre clef !
Déjà que ça m'embête d'avoir les deux applis sur le même device... (Mais bon on va pas se mentir, si on ne veut pas faire comme ça, l'ergonomie en prend un vieux coup !)
Pages