• [^] # Re: TOTP

    Posté par . En réponse au journal ultimatum de github pour passer au 2FA. Évalué à 7.

    Il n'a jamais été dit que les deux facteurs ne devaient pas se trouver au même endroit pour l'authentification forte. Uniquement qu'il fallait 2 facteurs parmi les trois suivants :
    - ce que sais (code) ;
    - ce que je possède (carte/téléphone/etc.) ;
    - ce que je suis (biométrie).

    Les cartes à puce, par exemple les cartes bancaires, proposent directement deux facteurs sur un seul support : ce que je possède (la carte, via la clef qui y est stockée) et ce que je sais (le code PIN). C'est pourtant considéré comme une solution d'authentification forte.

    Dans le cas d'une appli bancaire sur ton téléphone, tu peux avoir deux facteurs : ce que je possède via la clef spécifique à l'instance de l'appli et ce que je suis (via la biométrie du téléphone) ou ce que je connais (via un mot de passe d'appli).

    Pour les TOTPs, le but était d'ajouter au mot de passe (ce que je sais), une preuve de possession d'un autre appareil (qui stocke la clef du TOTP), mais depuis le temps, cette idée s'est galvaudée et on lit tout et n'importe quoi. C'est pour ça que FIDO est passé d'un protocole qui permettait et l'authentification et le second facteur à un seul protocole de 2FA, proche de celui proposé pour l'authentification en première instance : la sécurité perçue est plus grande, alors même que la clef FIDO pourrait suffire à elle seule.

    Il n'en reste pas moins que les solutions de 2FA sont aujourd'hui la solution la plus simple pour se prémunir du fishing, du moins tant que ce sera plus rentable d'attaquer les gens non équipés que de développer un fishing qui attaque directement le 2FA...