Twitch a annoncé hier soir la mise en place d'un système d'authentification à deux facteurs sur son service. Désormais, la plateforme propose à ses utilisateurs de recevoir un code temporaire sur leur téléphone, par SMS ou via l'application Authy, à chaque fois qu'ils s'y connectent.
Avec la croissance du nombre de ses utilisateurs, Twitch doit faire face à de nouveaux problèmes, notamment du côté de la sécurité. Jusqu'ici, pour prendre le contrôle du compte d'un joueur, il suffisait de trouver son mot de passe. Désormais, les choses vont se compliquer avec l'arrivée de la double authentification sur la plateforme.
Pour en profiter, il suffit de se connecter sur son compte, d'accéder aux paramètres de sécurité et de confidentialité et de sélectionner « Configurer la double authentification ». Twitch vous demandera alors de lui communiquer votre numéro de téléphone mobile.
Pour la suite, si vous avez installé l'application Authy sur votre mobile, celle-ci vous enverra une notification push avec un code à sept caractères à entrer, sinon, ce même code vous sera envoyé par SMS. Pour la désactiver, la procédure est la même, mais cette fois-ci, aucun code ne vous sera réclamé. Il est à noter que le code additionnel est demandé sur l'ensemble des plateformes, qu'il s'agisse de la version sur navigateur de Twitch, de ses applications mobiles et même de ses moutures pour PlayStation 4 et Xbox One.
Dans le cas d'une utilisation avec des SMS, s'il y a besoin de changer le numéro de téléphone associé au compte Twitch, il suffit de désactiver temporairement la double authentification, puis de la réassocier à un nouveau numéro. Sinon, il faut passer par une procédure spécifique sur le site d'Authy.
Commentaires (18)
#1
Peut-être que s’il y avait un peu de pron sur twitch, il passerait enfin à la balise html pour afficher les videos.
" />
#2
Tu nous stream du Fallout 4, Kevin?
" />
#3
#4
#5
Pourquoi ils utilisent pas une méthode à base de TOTP (Google et Microsoft Authenticator) ?
" />
#6
Parce que quand tu t’appelles Amazon, t’as pas forcément envie de t’appuyer sur une solution Google/MS :)
#7
C’est pas une solution Google/MS, c’est une solution disponible plus globalement et libre (contrairement à Authy)… et utilisée par Amazon pour AWS
" />
#8
AH, dans ce cas c’est idiot, effectivement
" />
#9
#10
Blizzard utilise aussi TOTP, mais dans une version non compatible (8 chiffres au lieu de 6). L’implémentation serveur de Google Authenticator est compatible, mais pas Google Authenticator pour iOS/Android/BlackBerry et Microsoft Authenticator pour Windows Phone. Et en plus, Blizzard communique avec le téléphone avec des méthodes non standard (pas de code QR).
Steam Guard a été ajouté avant que l’authentification à multiples facteurs soit popularisée par Google et Microsoft (de souvenir); ça explique peut-être pourquoi ils ont leur propre solution.
Authy a des avantages pour les utilisateurs de Twitch : c’est utilisé par Humble Bundle et c’est compatible TOTP. Pour l’utilisateur limité à iOS et Android et qui ne se soucie pas du fait que les informations de connexion soient partagées avec une société tierce, c’est plus pratique.
#11
Quel est l’intérêt de fournir mon numéro de téléphone si c’est pour passer par une appli dédiée ? Pas envie de donner cette info sous prétexte de sécurité… Je suis pour le 2FA, U2F et autre mécanisme basé sur TOTP mais Twitch nous prend pour des cons à nous demander notre téléphone. Donc ça sera sans moi.
De toute façon mon password est auto-généré sur 20 caractères pour le moment.
#12
Quel est l’intérêt de commenter la news sans la lire en entier ?
Ça marche aussi via SMS classique.
#13
Perso j’utilise celle là https://play.google.com/store/apps/details?id=com.mufri.authenticatorplus&am… plutôt que Google Authenticator, Au lancement l’appli demande un mdp de son choix pour crypter le fichier contenant les comptes et l’appli sauvegarde ce fichier sur Dropbox ou autre (au choix)
Authy c’est la même chose?
#14
Ce serait bien de pouvoir se log in en HTTPs…
#15
#16
et authy fait bien sur des sauvegardes des comptes (twitch, mais aussi google etc) dans son réseau personnel, pour notre bien, mais rassurez-vous:
“We use the same algorithm banks the NSA use to protect their information.”
#17
Authy tourne sur du TOTP avec une surcouche maison
https://blog.cloudflare.com/choosing-a-two-factor-authentication-system/
#18
C’est une implémentation propriétaire d’un standard qui ne te permet pas d’utiliser les autres implémentations standard… Je m’en fiche un peu que ce soit basé sur le même principe, je veux juste pouvoir choisir mon application pour l’authentification à multiples facteurs.
Dans le cas d’Authy, je ne peux pas utiliser mon téléphone ou mon ordinateur (tous deux “incompatibles” avec leur solution propriétaire), sauf à leur donner mon numéro de téléphone privé, ce que je ne ferais pas.