Step Two gère élégamment les seconds facteurs d'authentification

Stéphane Moussie |

L’authentification à deux facteurs se démocratise petit à petit, et c’est tant mieux. En demandant de saisir un second code après le mot de passe habituel, les services en ligne renforcent la sécurité des comptes des utilisateurs. Excepté Apple qui utilise un système maison, l’authentification à deux facteurs repose généralement sur un code reçu par SMS ou généré par une app spécialisée.

Step Two [1.3.3 – US – Gratuit – iPhone/iPad – Neil Sardesai] est l’une d’entre elles. Son fonctionnement est classique : on scanne avec elle le code QR présenté par le service en ligne pour ajouter une app d’authentification (l’option se trouve d’ordinaire dans les réglages de sécurité). L’app présente ensuite un code à 6 chiffres renouvelé régulièrement qui servira de second facteur lors d’une nouvelle connexion.

Step Two se démarque de Google Authenticator, sûrement la plus connue des apps d’authentification, par son design soigné. Les codes temporaires sont présentés dans de gros rectangles arrondis aux couleurs assorties aux services (bleu clair pour Twitter, vert pour Evernote…). Il suffit de toucher un rectangle pour copier le code dans le presse-papier — une action confirmée avec un retour haptique sur les iPhone compatibles.

Step Two ne fait rien que ça, mais elle le fait bien. Les seconds facteurs sont synchronisés via iCloud si vous voulez les retrouver sur un autre terminal. L’application est gratuite jusqu’à 10 comptes. Pour enregistrer plus de services, il faut débourser 2,29 € en achat in-app. Notez que certains gestionnaires de mots de passe, comme 1Password et Dashlane, peuvent servir d’app d’authentification car ils disposent de fonctionnalités identiques.

avatar reborn | 

Très belle UI 👍🏻

avatar notbenjamin | 

Personnellement je préfère OTP Auth (https://itunes.apple.com/fr/app/otp-auth/id659877384?mt=8) c’est moins beau mais il est disponible sur l’Apple Watch

avatar heu | 

"synchronisés via iCloud" rien que ça suffit à faire la différence avec Google auth. Je me demandais justement ma semaine derniere comment exporter les configs de Google auth parce que c'est particulièrement chiant de devoir repasser par chaque site et rescanner le qr après un reset du téléphone, même avec une restauration depuis une sauvegarde.

avatar cedric_cph | 

Oh merci, exactement ce que je cherchais. A chaque clean install, repasser sur chaque site pour reconfigurer la 2 steps verif', le scan et tout et tout...

avatar ovea | 

Avec algo utilisateur connu uniquement des deux côtés … ce serait seulement parfait.

Toute tentative d'introduction d'un tiers, conduit à une impasse pour la sécurité.

avatar Frizlab | 

Un des principes de base de la sécurité (il y en a 3) est d'avoir un algorithme OUVERT ;)

avatar ovea | 

@Frizlab

C'est comme au Kem's, où il faut partager un signe secret, connu seulement des deux joueurs qui font équipe et, que l'autre équipe doit essayé de deviner pour contrer 8-)

avatar C1rc3@0rc | 

@ovea

Un signe secret est une cle d’authentification ou de chiffrement.
Le probleme c'est de garantir qu'un tiers ne va pas intercepter la cle dans une transaction.

Le principe de l'autentification a 2 facteurs est une solution a la condition qu'elle se fasse grace a 2 voies de communications distinctes et sures, et que les cle reposent sur 2 systemes de chiffrement distincts...

Le SMS est disqualifié et le fait de recevoir le code sur la meme machine d'ou l'acces est demandé disqualifie egalement le principe d'autentification a 2 facteurs...

Pour que le systeme soit valide il faut donc:
- deux appareils differents
- deux voies de communication differentes.

Dans tous les autres cas c'est juste une complication du simple mot de passe.

avatar MV1908 | 

J’utilise 1Password pour générer les tokens et c’est bien pratique.

avatar Marvin_R | 

Je découvre que 1Password gère l'authentification à deux facteurs. Super, je viens de tester, ça fonctionne bien, et ça permet d'avoir une seule app pour les mots de passe et les tokens.
Auparavant, j'utilisais Authy, avec son app Apple Watch, c'est aussi une bonne solution, et sur iPhone (ou iPad), ça reste quand même plus rapide que d'utiliser 1Passord.

avatar irep | 

Imprimer les QR.codes ou les sauvegarder en capture d'écran dans une image disque protégée par cryptage évite de reparamétrer tout

avatar heu | 

@irep

Ils ont pas une durée de vie limitée ?

avatar macnewbie007 | 

Merci mais je reste sur OTP Auth, qui a un widget qui permet de copier le code voulu très rapidement

avatar TiTwo102 | 

Est ce que ce que la génération du code fonctionne même hors ligne ?

Il me semble que c’est le cas pour google authenticator (et j’avoue ne pas comprendre comment c’est possible).

avatar phil3 | 

@TiTwo102

Oui ce fonctionne même hors ligne avec 1Password. Je viens de faire l'essai.

Je pense que le code est généré à l'aide d'un algorithme qui prend comme base l'heure et le QR code. Donc même si tu es hors ligne il n'y a pas de problème pour continuer à générer le code.

CONNEXION UTILISATEUR