Validation deux facteurs : le smartphone Android est maintenant une clé de sécurité
Google transforme n’importe quel smartphone Android (à partir de la version 7.0) en clé de validation deux étapes. Le principe est simple : il suffit de s’identifier sur l’appareil mobile pour déverrouiller sur son ordinateur un des services web compatibles.
À l’heure actuelle, cette nouvelle méthode de sécurité se limite à G Suite, Gmail, Google Cloud et aux comptes Google. À terme, c’est à dire une fois que le système sera suffisamment robuste, le moteur de recherche prévoit d’autoriser des services tiers à utiliser ce nouveau processus.
S’il faut posséder un smartphone Android pour s’identifier, l’ordinateur peut être un PC sous Windows ou ChromeOS, ou encore un Mac, du moment que Chrome soit installé. Le service est déjà disponible, il faut se rendre sur la page myaccount.google.com/security, cliquer sur Validation en deux étapes et ajouter le smartphone qui fera office de clé de sécurité.
L’ordinateur et le smartphone/clé de validation ne doivent pas être trop éloignés l’un de l’autre, puisqu’ils communiquent par Bluetooth. Avec un Pixel 3, qui embarque une puce de sécurité Titan M, il suffit de cliquer sur le bouton de volume pour s’identifier. Sur les autres appareils mobiles, il faut s’identifier de manière traditionnelle.
Ce nouveau service s’appuie sur les standards FIDO et WebAuthn, ce dernier ayant été officiellement adopté par le W3C début mars.
C'est chouette ! vivement cela sur iOS.
D'ailleurs je me demandais si des personnes avaient acheté des clés FiDO et comment cela fonctionne sur Mac ?
@totoguile
Il est déjà possible sur mac d'utiliser une clé U2F (ou fido2) sur Chrome et Firefox pour les sites le supportant.
@ecatomb
Dans l'idée il faut avoir plusieurs moyens d'authentification à feux facteurs. Généralement il est recommandé d'avoir une clé d'authentification U2F (ou fido2) dans le trousseau et une autre en secours à la maison. En cas de perte ou de vol d'une clé, il est alors possible d'utiliser la clé de secours pour se connecter et retirer la clé volée au niveau des autorisations.
Pour iCloud, devoir valider sur mon iPhone, puis recopier les chiffres... Ca me paraît tellement pas Apple, que je ne comprends pas qu’ils n’ont pas fait mieux.
Une ptit coup de faceid et hop... connecté.
Heuu, cela va faire quelques mois que je valide mes accès Google depuis mon OnePlus 6.... ?
A bordel j'ai loupé le bluetooth, Mea culpa
@huexley
Tu le fais par un simple déverrouillage du tél ou via l’appli GoogleAuthenticator (qui existe aussi sur iOS mais ce n’est pas le sujet)
Dévérouillage de tel. Sur mon OnePlus 6. Mais ce système est sur le Bluetooth ce que je n'avais pas vu
Sauf que la W3C vient de normer webauthn qui fait la même chose donc j'espère que les autres vont plutôt suivre cette norme.
J’avais commencé à écrire quelque chose pour manifester mon étonnement de trouver Android et sécurité dans la même phrase mais j’ai effacé et me suis abstenu pour ne pas être qualifié de Troll... Je tenais à le préciser car si je ne l’avais pas fait personne n’aurait été au courant ??
Il existe un truc similaire pour iPhone qui s'appelle Krypton et qui marche avec quelques services
https://krypt.co
No way
@ipfix8
La réponse est oui :
https://n26.com/fr-fr/google-pay
@ipfix8
Depuis quand la carte Navigo est une innovation ? Apple Pay oui... Et je parie que Navigo sera sur iPhone d’ici la fin de cette année. Comme à Londres.
JAMAIS je ne confierai la sécurité de mes appareils à un appareil sous Android, cette espèce de passoire à tout hack qui se présente. Et qui plus est, confier des infos de sécurité à l’aspirateur de vie privée qu’est Google.
@osxkiller92
+1000
Je crois que tu confonds pas mal.... Niveau sécurité de l'OS les deux plateformes sont au même niveau, ou presque.
Si tu confonds avec les gens qui installent des applications chinoises douteuses, cela n'a rien a voir avec la sécurité...
@Ze_misanthrope Non, je ne confonds rien, je te rassure ;)
Au moins tu es convaincu de ce que tu dis, c'est bien !
JAMAIS je ne ferais confiance aux propos d'un inconnu qui prétend qu'un système est bourré de failles ou autres alors qu'on ne sait absolument rien de lui. C'est aussi rassurant que les mecs en imper devant les écoles?
@Garfield3 T’es mignon merci de pas me confondre avec ces dégueulasses. Pour ta gouverne je bosse dans l’IT donc en terme de sécurité informatique, j’en sais un peu plus que tu ne le penses. Et tu seras gentil d’aller roter tes horreurs ailleurs qu’ici. Mon commentaire n’en appelle pas un de ta part, tu peux la boucler tu y es autorisé.