@szam je reformule: ce genre d'authentification 2 facteurs n'est pas efficace.

@lleofar @szam 1) c’est sensiblement meilleur qu’une authentification par seul mdp
2) c’est sujet à plein de menaces, mais c’est le 2FA qui s’adresse au plus de personnes
3) c’est utile comme canal de récupération plus que comme un moyen d’authentication

@gordon @szam
Oui

@lleofar @szam « Oui » ?

@gordon @szam Ben oui, je suis d'accord. C'est mieux qu'une protection par Mot de passe simple, mais c'est illusoire de croire que ça protège d'une attaque MIM.

@lleofar @szam « MIM » pour « MitM » (Man (sic) in the Middle) ? Si, ça protège. Si le canal SMS est compromis, ça ne permet pas de connaître le mot de passe. Si c’est le canal HTTPS qui l’est, ça ne permet pas de rejouer l’authentification. Il faut compromettre les deux à la fois pour que ça soit exploitable. Donc la protection est bien réelle

@gordon @szam Oui c'est vrai, pas une attaque MitM seule, mais si tu associe ça à du DNS cache poisoning et quelques autres trucs.

@lleofar @szam tu arrives à compromettre des SMS par DNS cache poisoning, toi ?

@gordon @szam On s'en fiche complètement des SMS. et du fait qu'ils soient sur un autre canal.

@szam @gordon L'utilisateur devra entrer un code fourni par SMS, pigeon voyageur ou autre.

@gordon @szam Et il l'entrera via un formulaire sur la page web. C'est à ce moment là qu'il peut être récupéré

@lleofar @szam oui, et vu que c’est du one-time, le rejeu est impossible

@gordon @szam Pour l'instant le truc le plus sûr que je connaisse, ça reste une clé U2F (si possible certifiée FIDO), ça coûte 15€, et ça commence à être compatible avec de plus en plus de navigateur.

@lleofar @szam 1) je suis d’accord, U2F (FIDO n’est pas une certification, et U2F est un standard FIDO, donc ça n’a pas de sens « une clé U2F si possible certifiée FIDO ») apporte plus de sécurité. Encore faut-il que les gens soient conscients du problème d’authentification, achètent une clé, et n’utilisent pas Safari, par exemple. Ou soient forcément sur un ordinateur
2) tu peux m’expliquer en quoi une compromission HTTPS (MitM par exemple) est plus dangereuse dans le cas d’un OTP envoyé par SMS que d’un U2F ?

@gordon @szam C'est expliqué dans le document que j'ai linké un peu plus tôt.

@lleofar @szam j'ai utilisé les mots « tu peux m'expliquer » pour une bonne raison. Je connais U2F, et j'aimerais juste savoir comment tu le comprends et comment tu le différencies sur ce point d'un OTP par SMS

@gordon @szam @lleofar j'arrive pas à comprendre sur quoi vous arrivez pas à vous entendre.

U2F ne craint techniquement pas les attaques MitM par l'échange de clés à l'enregistrement et la procédure d'authentification avec challenge non ?

Ce qui est un avantage énorme sur les différentes authentification par OTP.