• [^] # Re: Mauvais facteur

    Posté par . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 4.

    Je reprends sans coupe ton commentaire en lien :

    Relis bien le thread, mais en résumé je dis:

    • qu'il ne faut pas choisir des facteurs "emmerdants" : le confort d'utilisation est un élément de sécurité ;
    • que le 2FA n'est pas fait pour protéger en cas de compromission des périphériques/terminaux : si tu veux te protéger contre ça, il faut d'autres mesures.

    La sécurité, c'est by design par by what could go wrong.

    A propos, est-ce que quelqu'un a vu mon post-it avec marqué "root pwd : ***" dessus ? J'en ai besoin pour faire une mep.

    La phrase qui m'interpelle (et que j'avais déjà cité c'est :

    que le 2FA n'est pas fait pour protéger en cas de compromission des périphériques/terminaux : si tu veux te protéger contre ça, il faut d'autres mesures.

    L'authentification à 2 facteurs consiste à devoir prouver 2 choses parmi :

    1. ce que tu sais
    2. ce que tu possède
    3. ce que tu as

    Si on te vol l'objet que tu as et qui te sert pour le point 1 dans une implémentation correct de la 2FA ça ne devrait pas pouvoir prouver :

    • ni qui tu es, ça voudrais dire que stocke tes données biométriques et ce n'est donc plus qui tu es mais ce que tu possède
    • ni ce que tu sais, ça voudrais dire que tu stocke ce que tu sais et ce n'est donc plus ce que tu sais mais ce que tu possède

    Hors le nist dont j'ai donné le lien un peu plus haut affirme :

    Your credentials fall into any of these three categories: something you know (like a password or PIN), something you have (like a smart card), or something you are (like your fingerprint). Your credentials must come from two different categories to enhance security – so entering two different passwords would not be considered multi-factor.

    Au risque de me répéter si tous tes facteurs que tu en ai 1, 2 ou 1000 entrent tous dans « ce que tu possède », même s'il s'agit d'un objet différents pour chacun de tes 1000 facteurs, ça ne devrait pas être considéré comme du multifacteur.

    J'affabule ?

    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll