Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.
Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.
Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.
Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).
# Sécurité
Posté par Matthieu Moy (site web personnel) . En réponse au message Authentification à deux facteurs ! Vraiment ?. Évalué à 10.
Si tu travailles sur des projets secret-défense, effectivement oublie le 2FA avec un soft installé sur la même machine que celle que tu utilises pour te connecter. Si tu as affaire à un vrai attaquant qui a obtenu un accès à ta machine et qui cherche à s'en servir comme rebond pour accéder aux services/données de ton université, il le fera aussi bien avec que sans 2FA.
Mais pour le commun des mortels, typiquement le personnel standard d'une université, le risque numéro 1, c'est le phishing. N'importe qui peut recopier la page web d'authentification de ton université, t'envoyer un mail disant « cliquez ici et donnez-moi votre mot de passe » et attendre pour récolter les mots de passes. La première chose c'est de faire de la sensibilisation, je vois de plus en plus passer de campagne de faux phishing organisées par les DSI, c'est bien, mais on a quand même environ 20% de gens qui balancent leur mot de passe sans discuter (je parle de labos de recherches où tout le monde est bac+5 à bac+8, hein, pas de la mamie ou du papy du Cantal). Sur une université avec >1000 salariés, c'est quand même 200 mots de passes donc potentiellement 200 comptes compromis par un attaquant qui sait juste bricoler un site web et faire de l'envoi de mail en masse.
Le 2FA même avec un deuxième facteur pas hyper solide est quand même une parade assez efficace contre le phishing. L'attaquant ne peut pas faire grand chose du mot de passe récupéré facilement, maintenant il faut qu'il récupère le secret TOTP stocké sur ta machine, et son script à envoyer des mails ne lui servira à rien pour ça.
Si tu veux une meilleure sécurité que ça, installe une appli TOTP sur une autre machine que celle que tu utilises pour te connecter, c'est assez facile, mais aussi contraignant (typiquement si tu perds l'accès à l'autre machine, genre que ton smartphone n'a plus de batterie, tu perds l'accès, c'est le principe du 2FA).