• [^] # Re: Mauvais facteur

    Posté par . En réponse à la dépêche PyPI déploie le système 2FA pour les projets critiques écrits en Python. Évalué à 2.

    Tout ça c’est bien joli, mais à ma connaissance l’enrôlement de la machine sur laquelle tu utilises twine est le seul moyen de pouvoir continuer à utiliser twine une fois que tu as activé l’authentification à deux facteurs. La vérification du second facteur n’est pas possible avec l’API !

    Refuser de permettre l’enrôlement de machine sur PyPI, au motif que tu affaiblirais la sécurité en introduisant un maillon soi-disant plus faible, ce serait conduire tous les utilisateurs qui le peuvent (c’est-à-dire, tous sauf ceux responsables du 1% de projets « critiques » qui n’ont désormais plus le choix) à rejeter purement et simplement l’authentification à deux facteurs, parce qu’elle rend l’outil de téléchargement de paquets tout simplement inutilisable...

    Et ce n’est pas valable que pour PyPI. C’est la même histoire chaque fois que tu as besoin qu’un outil se connecte à un compte de manière non-interactive (incompatible avec le besoin de vérifier un second facteur, qui quasiment par définition impose une interaction avec le titulaire du compte).

    Je n’aurais jamais activé l’authentification à deux facteurs sur mes comptes mails si je n’avais pas pu, dans le même temps, enrôler ma machine qui fait tourner un démon fetchmail pour automatiquement collecter mes mails depuis tous mes comptes. Je n’aurais jamais activé l’authentification à deux facteurs sur mon compte Nextcloud si je n’avais pas pu enrôler toutes les différentes machines sur lesquelles je veux que mes contacts, agenda, photos, etc. soient synchronisés en arrière-plan.

    C’est pour ça que l’enrôlement de machine n’est pas une alternative à l’authentification à deux facteurs, et encore moins un « maillon plus faible ». Bien au contraire, c’est ce qui rend l’authentification à deux facteurs possible au-delà du cas basique de l’utilisateur devant un navigateur web (qui est, faut-il le rappeler, juste une petite facette de l’Internet).