• [^] # Re: TOTP

    Posté par (site web personnel) . En réponse au journal ultimatum de github pour passer au 2FA. Évalué à 2. Dernière modification le 22 octobre 2024 à 01:46.

    ne savent pas utiliser TOTP ni se documenter là-dessus

    bin j'ai posté un nourjal sur LinuxFr.org justement pour cela :D

    J'ai justement parlé de ssh et ed25519 parce que ça me suffisait jusque maintenant, même si j'utilise de temps en temps l'interface web de github pour des commits ou des pull-requests simplissimes et là le 2FA de github stait pas encore obligatoire.

    Pour l'instant, j'ai retenu Aegis (j'ai une base autre pour mes mots de passe) :

    • ça prend le QRcode de github sur le mobile quand je dois déclarer le TOTP
    • j'ai stocké les clés de récupération (que j'ai dû chiffrer1 o_O) sur 2-3 lieux supplémentaires que je maîtrise (dont certains accessibles en ligne)
    • j'ai un mot de passe connu pour me connecter à Aegis
    • ça me donne un TOTP avec un décompte du temps restant pour le saisir, ce qui me convient (c'est déjà mieux que les clés physiques qui me sont passées par les mains où je devais m'y reprendre à 2-3 fois)

    exit bitwarden qui ne me convient pas (serveur non maîtrisé), ainsi que 2FAS (pas encore disponible dans f-droid). Je re-regarderai peut-être FreeOTP et FreeOTP+ (dispos dans f-droid)

    Il me reste à voir :

    • si je peux activer en // le TOTP par le greffon proposé par devnewton<, ça me dépannera quand je ne veux pas sortir le mobile, vu ce qu'a précisé aiolos< ; sinon j'utiliserai keepassxc comme indiqué par zurvan<
    • ajouter des passkeys qui me conviendraient via _settings/security
    • si quand j'ai mon mobile sur moi, je réussis à m'en sortir sur un ordinateur que je ne maîtrise pas forcément complètement (pas fou, je vais commencer dans notre fablab, je maîtrise un peu les postes :p)

    1. je reviendrai là-dessus pour chiffrer efficacement (non pas rot13 /o\) :p