Authen­ti­fi­ca­tion forte

Le bypass c’est moi qui choisit ou pas de l’utiliser. À moi de faire en sorte de gérer ce risque (ne l’utiliser que là où je suis sûr, exceptionnellement, peut être le changer ensuite, etc.).
Il ne remet pas en cause le principe puisque j’ai beau avoir utilisé un bypass il y a un mois chez moi parce que mon téléphone était en rade, ça n’offre pas plus de possibilités d’attaque au malveillant qui regarde ce que je tape du boulot avec une authentification forte.
Bien sûr cela demande de savoir ce qu’on fait, de mesurer les risques, et d’assumer que le risque n’est jamais nul donc qu’en utilisant le bypass je fais peut être une bêtise mais ça ne rend pas caduque tout le reste pour autant.

Pour le clavier virtuels c’est franchement pour rire et pour dire qu’ils ont fait quelque chose. Il faudra 2h à un bidouilleur pour ajouter une capture d’écran lors du clic. C’est fait depuis longtemps dans beaucoup de spyware (et pourtant que je sache ce système est très français)

Pour moi le stockage de mot de passe est une fausse solution. Déjà ça entraine à stocker le mot de passe quelque part. Ensuite ça implique de le réafficher avant de l’utiliser, donc d’ajouter une potentielle divulgation supplémentaire qui n’existait pas avant. Et ensuite ça ne résoud quasiment pas le problème de la divulgation « sans le savoir » de son mot de passe.

Pour les alarmes j’aime bien ce qu’en fait Google : m’avertir quand il pense qu’il y a eu un accès depuis un autre poste à risque. Ca fonctionne assez bien mais ça reste perfectible. Si on utilise un système par jeton généré, c’est quelque chose d’assez simple à ajouter justement avec un bête compteur. Celui qui copie le générateur de jeton se fait très rapidement repérer simplement parce que d’un coup le compteur fait des sauts ou des retours en arrière.

Pour les besoins et bien … justement, c’est ce que j’ai listé dans le billet. Clairement les systèmes basés uniquement sur mot de passe ne me semblent pas correspondre à ce que je cherche. Pour l’instant j’ai le 2steps de Google et je lies autant que possible dessus via openid. Reste que je trouve encore des défauts qui me gênent (surtout l’absence de contrôle de la solution)