OVH propose la double authentification pour tous, comment en profiter

OVH propose la double authentification pour tous, comment en profiter

En cochant la case évidemment

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

10/09/2013 3 minutes
44

OVH propose la double authentification pour tous, comment en profiter

Octave Klaba, fondateur et directeur général d'OVH, vient d'annoncer que la double authentification était désormais disponible gratuitement afin de sécuriser l'accès à votre espace client (OVH Manager v3). Une fois cette fonctionnalité activée, il faudra saisir un code envoyé par SMS en plus de votre mot de passe.

 

Mi-juillet, OVH faisait face à un problème important : la sécurité de ses serveurs était compromise et les données de ses clients européens se sont retrouvées dans la nature : nom, prénom, adresse mail, adresse postale, numéro de téléphone et mot de passe chiffré. Dans un souci de transparence, un effort louable et relativement rare, la société avait alors déclaré qu'« il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c'est possible ». Bien évidemment, suite à cette intrusion, de nouvelles protections ont été mises en place et une vaste campagne par mail était mise sur pied afin de demander à ses clients de changer de mot de passe.

 

Désormais, l'hébergeur va plus loin en matière de sécurisation de votre compte et vous propose d'activer gratuitement une double authentification afin d'accéder à votre Manager v3 (l'espace client dans le jargon d'OVH). Pour profiter de cette fonctionnalité, il vous commencer par vous identifier, puis vous rendre dans « Actions > Administration > Mes paramètres > Mot de passe » :

 

OVH double authentification SMS

 

En bas de la fenêtre, cochez la case correspondante et indiquez votre numéro de téléphone au format international. En France par exemple, le 06 xx xx xx xx devient +33 6 xx xx xx xx. Afin de valider ce changement, il est nécessaire de changer votre mot de passe. En effet, dans le cas contraire, le Manager retourne un message d'erreur « Password too short », alors que ce n'était pas le cas, et refuse de prendre en compte les changements. Reste à voir s'il s'agit d'un petit souci lors de la mise en production ou bien d'un simple bug qui sera rapidement corrigé. Comme toujours, n'hésitez pas à nous faire part de vos retours via les commentaires.

 

Attention : il n'y a pour le moment aucune vérification du numéro de téléphone, veillez donc bien à entrer le bon sous peine de ne plus pouvoir accéder à votre compte. Espérons que cela soit rapidement corrigé et qu'une vérification soit mise en place.

 

OVH SMSOVH double authentification SMS

 

Désormais, lorsque vous souhaitez vous connecter au Manager d'OVH, la société roubaisienne vous enverra automatiquement un SMS avec un code valable cinq minutes seulement. Bien évidemment, vous pouvez effectuer la manipulation inverse afin de désactiver la double authentification.

 

Il reste néanmoins du travail afin de déployer la double authentification sur l'ensemble des applications de la société. En effet, nous avons testé avec MoM pour Windows et, même si cette fonctionnalité était activée, nous avons pu accéder à l'administration de notre compte sans qu'un SMS de confirmation ne soit envoyé. Il devrait en être de même pour MoMi, la version iOS de cette application.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Fermer

Commentaires (44)


John Shaft Abonné
Le 10/09/2013 à 08h 47

Quid du Manager v5 ? <img data-src=" />


brazomyna
Le 10/09/2013 à 08h 49



Dans un souci de transparence, un effort louable et relativement rare, la société avait alors déclaré qu’« il faut beaucoup de moyens techniques pour retrouver le mot de passe en clair. Mais c’est possible ». Bien évidemment, suite à cette intrusion, de nouvelles protections ont été mises en place et une vaste campagne par mail était mise sur pied afin de demander à ses clients de changer de mot de passe.





Sauf erreur, moi je me souviens surtout d’une boite qui a envoyé un mail plusieurs jours après l’intrusion, et seulement après que la presse ait déjà traité l’information.


papychicken
Le 10/09/2013 à 08h 50

Manager v5 abandonné v6 bientôt en prod








papychicken a écrit :



Manager v5 abandonné v6 bientôt en prod





Et donc en attendant, il faut se servir du V3 ?



C’est un peu n’importe quoi ces numéros de versions <img data-src=" />







brazomyna a écrit :



Sauf erreur, moi je me souviens surtout d’une boite qui a envoyé un mail plusieurs jours après l’intrusion, et seulement après que la presse ait déjà traité l’information.





J’ai reçu le mail la veille de la publication de l’article PCI.



Sinon, la double authentification, c’est cool, mais s’ils pouvaient plutôt résoudre mon problème de synchro adsl qui traine depuis presque 2 semaines, ce serait cool aussi <img data-src=" />



chtivain
Le 10/09/2013 à 09h 01

Pour ma gestion bancaire, j’utilise la double authentification (la confirmation se fait via un code envoyé par SMS/un automate sur téléphone fixe).



Mais ça intérêt à être bien fait, car ça peut devenir vite très ennuyant.



Par exemple, durant 6 mois j’ai testé cela sous Google.



Autant je conçois qu’un coup de Ccleaner puisse nécessiter une nouvelle confirmation d’authentification.



Autant des fois c’était totalement débile, du genre on peut aller sur Gmail, mais pas sur You Tube (pourtant lié au même compte).


Stringer
Le 10/09/2013 à 09h 16

C’est #LaDoubleAuthentPourTous ! <img data-src=" />


Groumfy
Le 10/09/2013 à 09h 22

Faut qu’on m’explique cette mode.



Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    Pire, si un smartphone est déverrouillé ou sans code PIN, avec des connexions automatiques sur les boites mail …




MarbolanGos
Le 10/09/2013 à 09h 30

Comme dirait la page Apache de base : It works!


okeN
Le 10/09/2013 à 09h 30







Groumfy a écrit :



Faut qu’on m’explique cette mode.



Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    Pire, si un smartphone est déverrouillé ou sans code PIN, avec des connexions automatiques sur les boites mail …





    Ne t’inquiète pas, pour ça on aura bientôt la triple authentification!! Quand tu voudra te connecter à ton compte OVH, un SMS te sera envoyé avec un adresse unique te permettant d’uploader une photo de ton iris prise avec ton smartphone.



calvin01
Le 10/09/2013 à 10h 03







Groumfy a écrit :



Faut qu’on m’explique cette mode.



Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    Pire, si un smartphone est déverrouillé ou sans code PIN, avec des connexions automatiques sur les boites mail …





    En général des codes de secours sont fourni pour désactiver l’option, c’est à toi de faire attention à les garder. Dans le cas de google il y a la possibilité de mettre un deuxième numéro (j’ai mis mon fixe) et en plus il y a une liste de code de secours.



    Donc ça augmente vraiment la sécurité, je n’ai plus peur de me connecter sur un PC qui n’est pas le mien (même un MDP de 18 caractères différents est inutile face à un keylogger).



    Et beaucoup de service proposent de passer par une apply pour générer des codes (facebook / google / github / dropbox) c’est beaucoup plus pratique que des SMS, pas besoin de réseau pour les recevoir, et c’est un standart donc une seule application pour tous ces services.



durandt
Le 10/09/2013 à 10h 28







Groumfy a écrit :



Faut qu’on m’explique cette mode.



Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    Pire, si un smartphone est déverrouillé ou sans code PIN, avec des connexions automatiques sur les boites mail …







    Même problème que l’ADSL.

    Technologie de transition qui profite de l’existence d’un canal utilisable (Paire de cuivre, Téléphone portable) pour améliorer l’existant.

    Le risque étant de se noyer indéfiniment dans la transition et de je jamais passer sur une vraie techno.

    Dans le cas de l’ADSL, la vraie techno c’est le déploiement de la fibre.

    Dans le cas de la double-auth par SMS, la vraie techno (déjà utilisé par de nombreuses banques) c’est le boîtier générateur de OneTime-codes.



    Car si ta liste d’inconvénients s’applique également au boîtier, il n’en est pas moins que:



    • Le boîtier n’a pas besoin de réseau

    • Le boîtier n’a pas besoin d’être rechargé 18fois par jour

    • Tes enfants ne jouent pas avec ton boîtier

    • Ton boîtier ne change pas de numéro (pain in the ass le jour où tu changes d’opérateur et/ou de numéro que tu peux pas accéder à tes services en ligne car plus de forfait/pain in the ass quand tu dois aller changer le numéro sur tous les services en ligne. Éventuellement certain services tu peux même pas le changer en ligne il faut prendre rendez-vous (Copyright LaBanquePostale))

      etc…



      Les boîtes qui mettent en place du DoubleAuth ne sont que des boîtes qui veulent faire croire qu’elles améliorent la sécurité mais souhaitent minimiser le coût de cette amélioration.

      Si OVH veut améliorer la sécurité du manager ils doivent proposer (éventuellement en option payante) la possibilité de se procurer un boîtier.



      Ma conclusion: Mort au DoubleAuth via SMS.




HarmattanBlow
Le 10/09/2013 à 11h 04







Groumfy a écrit :



Faut qu’on m’explique cette mode.





C’est très simple : sms + mdp &gt; mdp.

Voilà ! Avec ça il faut en plus un accès à ton téléphone (ou à ton infrastructure téléphonique : serveurs de ton opérateur, brouillage radio près de chez toi, etc)





Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    La perte de l’objet, osef : tu restes proprio de la ligne et tu seras simplement momentanément privé d’accès. Quant à son vol, sans le mot de passe ça ne sert à rien, si bien qu’il ne peut servir qu’à ceux qui de toute façon auraient déjà ton mdp, donc ça n’affaiblit pas la sécurité.



    C’est un bénéfice fort en termes de sécurité, avec seulement quelques inconvénients mineurs et circonstanciels (perte temporaire d’accès en cas de perte du tél par ex).



HarmattanBlow
Le 10/09/2013 à 11h 08







durandt a écrit :



Les boîtes qui mettent en place du DoubleAuth ne sont que des boîtes qui veulent faire croire qu’elles améliorent la sécurité mais souhaitent minimiser le coût de cette amélioration.

Si OVH veut améliorer la sécurité du manager ils doivent proposer (éventuellement en option payante) la possibilité de se procurer un boîtier.



Ma conclusion: Mort au DoubleAuth via SMS.





Les générateurs de mdp temporaires c’est bien, mais…

* Dix générateurs c’est moins bien.

* Ca se perd plus facilement qu’un tél.





Tes enfants ne jouent pas avec ton boîtier



Tu es sûr de toi ? <img data-src=" />



millcaj
Le 10/09/2013 à 11h 19







brazomyna a écrit :



Sauf erreur, moi je me souviens surtout d’une boite qui a envoyé un mail plusieurs jours après l’intrusion, et seulement après que la presse ait déjà traité l’information.







Moi je l’ai reçu bien après que l’information ait été publiée; sans PCINpact, je n’aurais rien su pendant des jours.









Groumfy a écrit :



Faut qu’on m’explique cette mode.



Un téléphone portable, ça peut




  • se perdre

  • être volé

  • chuter et tomber en panne



    Pire, si un smartphone est déverrouillé ou sans code PIN, avec des connexions automatiques sur les boites mail …







    Et il peut être partagé dans une famille ou un couple (si on n’est pas un gros utilisateur), oublié à la maison ou au travail our ailleurs, etc.



    ET, surtout, on a le droit de ne pas en avoir (il y a des dizaines de raisons valides), ce que vous nient les systèmes de vérification obligatoire par mobile (ce n’est toutefois pas le cas ici)



durandt
Le 10/09/2013 à 11h 54







HarmattanBlow a écrit :



* Dix générateurs c’est moins bien.







C’est pour cela que ici, en Suède, on peut s’identifier à la plupart des services en ligne via notre banque qui sert d’intermédiaire et certifie notre identité.



Groumfy
Le 10/09/2013 à 12h 01







HarmattanBlow a écrit :



C’est très simple : sms + mdp &gt; mdp.

Voilà ! Avec ça il faut en plus un accès à ton téléphone (ou à ton infrastructure téléphonique : serveurs de ton opérateur, brouillage radio près de chez toi, etc)





En usage normal, oui.







HarmattanBlow a écrit :



La perte de l’objet, osef : tu restes proprio de la ligne et tu seras simplement momentanément privé d’accès. Quant à son vol, sans le mot de passe ça ne sert à rien, si bien qu’il ne peut servir qu’à ceux qui de toute façon auraient déjà ton mdp, donc ça n’affaiblit pas la sécurité.







Constat : De nombreux (tous ?) sites utilisent une procédure de réinitialisation, par envoi de lien par mail.

Hypothèse : vol/perte d’un smartphone avec une (plusieurs?) boite mail connectée.



Dans un laps de temps assez court, mais suffisant, l’attaquant utilise les procédures de réinitialisation sur les sites.



Même si la boite mail principale reste relativement protégée(*), tous les sites sont attaquables.



Avec le téléphone dans les mains, si un numéro est envoyé par SMS, ça confirme à tort l’identité du possesseur du compte.



* : Google et Yahoo utilisent le concept d’une adresse mail de secours. C’est le même problème. Si une boite est compromise, il ne faut pas que la deuxième soit configurée sur le même terminal.



Minikea
Le 10/09/2013 à 12h 56







Groumfy a écrit :



En usage normal, oui.







Constat : De nombreux (tous ?) sites utilisent une procédure de réinitialisation, par envoi de lien par mail.

Hypothèse : vol/perte d’un smartphone avec une (plusieurs?) boite mail connectée.



Dans un laps de temps assez court, mais suffisant, l’attaquant utilise les procédures de réinitialisation sur les sites.



Même si la boite mail principale reste relativement protégée(*), tous les sites sont attaquables.



Avec le téléphone dans les mains, si un numéro est envoyé par SMS, ça confirme à tort l’identité du possesseur du compte.



* : Google et Yahoo utilisent le concept d’une adresse mail de secours. C’est le même problème. Si une boite est compromise, il ne faut pas que la deuxième soit configurée sur le même terminal.





si tu protèges pas ton terminal aussi….



HarmattanBlow
Le 10/09/2013 à 13h 00







Groumfy a écrit :



Constat : De nombreux (tous ?) sites utilisent une procédure de réinitialisation, par envoi de lien par mail.

Hypothèse : vol/perte d’un smartphone avec une (plusieurs?) boite mail connectée.





Mais ça ce n’est pas de la double identification, ce n’est pas ce dont parle l’article.



Ce dont tu parles toi c’est de procédure de secours (récupération ou changement de mdp), ce qui n’a rien à voir du tout. Rien du tout ! Et le problème serait le même avec des sites qui te proposeraient de récupérer ton mdp avec un générateur de mdp.







durandt a écrit :



C’est pour cela que ici, en Suède, on peut s’identifier à la plupart des services en ligne via notre banque qui sert d’intermédiaire et certifie notre identité.





Et c’est le seul facteur d’identification ? Pas de mdp en plus, unique à chaque site, de l’attestation de la banque ? Si oui c’est vraiment vulnérable.



Tatsu-Kan
Le 10/09/2013 à 14h 02



Attention : il n’y a pour le moment aucune vérification du numéro de téléphone, veillez donc bien à entrer le bon sous peine de ne plus pouvoir accéder à votre compte. Espérons que cela soit rapidement corrigé et qu’une vérification soit mise en place.





Ça a été modifié, on doit maintenant valider la modification en entrant un code reçu par SMS.


MasterDav
Le 10/09/2013 à 14h 16

Vivement le jour où les lecteurs d’empreinte seront généralisés. <img data-src=" />


Minikea
Le 10/09/2013 à 14h 18







MasterDav a écrit :



Vivement le jour où les lecteurs d’empreinte seront généralisés. <img data-src=" />





ou la certification de ton identité par un tiers de confiance (État, banque…)



MasterDav
Le 10/09/2013 à 14h 25







geekounet85 a écrit :



par un tiers de confiance (État, banque…)





T’as rien trouvé de mieux que des contre-exemples ? <img data-src=" />



Minikea
Le 10/09/2013 à 14h 32







MasterDav a écrit :



T’as rien trouvé de mieux que des contre-exemples ? <img data-src=" />





l’État est le mieux placé pour vérifier ton identité (carte d’identité, recensement, etc…)

et ta banque est une autorité de confiance qui “pourrait” délivrer un certificat numérique ou un accès openID ou autre après avoir qu’ils aient vérifié ton identité de manière fiable.



La carte d’identité française est merdique actuellement, mais ça peut être un vecteur de bien des facilité numérique si on s’en donne la peine (par “on” j’entends les politiques qui nous gouvernent…)



MasterDav
Le 10/09/2013 à 14h 37

J’aurais ptêt du quoter comme ça pour que tu comprennes l’intention humoristique <img data-src=" />







geekounet85 a écrit :



de confiance (État, banque…)






Minikea
Le 10/09/2013 à 14h 44







MasterDav a écrit :



J’aurais ptêt du quoter comme ça pour que tu comprennes l’intention humoristique <img data-src=" />





oui j’avais saisi, mais c’était un peu facile! <img data-src=" />



Obidoub
Le 10/09/2013 à 14h 57







papychicken a écrit :



Manager v5 abandonné v6 bientôt en prod





Le manager v5 est une horreur, non seulement on ne trouve rien mais en plus c’est bourré d’Ajax et ultra lent si la connexion est un peu dégonflée.



MasterDav
Le 10/09/2013 à 15h 05

On fait ce qu’on peut avec ce qu’on a <img data-src=" />

Sinon juste comme ça, certaines banques et l’état sont déjà des Autorités de Certification (https://www.tractis.com/contracts/473471613 ) ;)

Sauf que les certificats électroniques c’est déjà chiant pour un geek, alors pour un michu <img data-src=" />

La lecture d’empreintes digitale est aujourd’hui fiable et rapide, on est loin du temps des scanners sur les laptops IBM où tu devais passer 15 fois ton doigt à des vitesses différentes pour avoir un résultat positif <img data-src=" />

Et comme la majorité des gens ont des doigts… <img data-src=" />


luxian Abonné
Le 10/09/2013 à 15h 32

Oh non pitié pas ça !



Si ça continue, il faudra faire faire une analyse de selles et envoyer le résultat par DHL pour prouver qu’on est bien soi et s’authentifier !


Groumfy
Le 10/09/2013 à 15h 58







HarmattanBlow a écrit :



Mais ça ce n’est pas de la double identification, ce n’est pas ce dont parle l’article.



Ce dont tu parles toi c’est de procédure de secours (récupération ou changement de mdp), ce qui n’a rien à voir du tout. Rien du tout ! Et le problème serait le même avec des sites qui te proposeraient de récupérer ton mdp avec un générateur de mdp.







Mon propos est général sur l’association d’un téléphone à un compte, pas spécifique à OVH et à l’actu :



Ce que nous ferons avec votre numéro de téléphone mobile





pour vous envoyer un code de validation vous permettant de vous connecter à votre compte si vous ne pouvez plus y accéder ;





Google est cité en tant que référence dans beaucoup de domaines, les sites copient les méthodes de Google.




Glyphe
Le 10/09/2013 à 16h 13







Groumfy a écrit :



Ce que nous ferons avec votre numéro de téléphone mobile



Google est cité en tant que référence dans beaucoup de domaines, les sites copient les méthodes de Google.







La meilleure méthode de double authentification que je connaisse c’est Blizzard qui l’a mise en place.

Ça passe par une application mobile pour smartphone (gratuite) ou un objet dédié achetable chez eux qui lié au compte permet de délivrer un code demandé à chaque login. l’Application et l’objet cont appelés “Authenticator” .




HarmattanBlow
Le 10/09/2013 à 16h 14







Groumfy a écrit :



Mon propos est général sur l’association d’un téléphone à un compte, pas spécifique à OVH et à l’actu :





Non, ton propos portait uniquement sur l’utilisation du téléphone comme moyen de secours en cas de perte de mot de passe (ce qui est hors-sujet car sans aucun rapport avec la news). Aucun des tes arguments ne portait sur la double identification qui est, j’insiste, totalement différent. Et les générateurs de mdp uniques que tu présentais comme la solution ont en fait exactement les mêmes défauts s’ils sont utilisés comme moyen de secours.







MasterDav a écrit :



La lecture d’empreintes digitale est aujourd’hui fiable et rapide, on est loin du temps des scanners sur les laptops IBM où tu devais passer 15 fois ton doigt à des vitesses différentes pour avoir un résultat positif <img data-src=" />

Et comme la majorité des gens ont des doigts… <img data-src=" />





Les identifiants biométriques sont des mots de passe perpétuels et non-renouvelables, donc une grosse connerie dans 99% des cas. Et certains peuvent même être obtenus simplement en te prenant discrètement en photo.



C’est très bien pour s’identifier à la cafétéria, moyennement bien pour verrouiller ton smartphone, très con pour s’identifier en ligne (n’importe qui peut envoyer le fichier de tes empreintes). Tout repose en fait sur le fait de pouvoir ou non faire confiance au lecteur biométrique. C’est donc adapté pour une identification sur site, voire dans certains cas pour verrouiller un périphérique, jamais pour une identification à distance.



MasterDav
Le 10/09/2013 à 16h 32







HarmattanBlow a écrit :



C’est très bien pour s’identifier à la cafétéria, moyennement bien pour verrouiller ton smartphone, très con pour s’identifier en ligne (n’importe qui peut envoyer le fichier de tes empreintes).





Il me semblait que les lecteurs d’empreinte fonctionnaient avec un crypto asymétrique, la clé privée étant associée à ton empreinte.

Et finalement en y réfléchissant, la lecture de l’empreinte ne fait qu’envoyer la clé privée, donc ça ne marchera qu’à la maison et pas chez les copains… <img data-src=" />

Ou alors il faudrait que la génération de clé privée se fasse à la volée en hard dans le lecteur et que tous les lecteurs soient standardisés pour sortir la même clé d’après une empreinte donnée.

Là, à part à faire du man in the middle pour chopper la clé, je vois pas trop comment usurper une identité.



HarmattanBlow
Le 10/09/2013 à 16h 42







MasterDav a écrit :



Ou alors il faudrait que la génération de clé privée se fasse à la volée en hard dans le lecteur et que tous les lecteurs soient standardisés pour sortir la même clé d’après une empreinte donnée.





Plus simple encore : la lecture rétinienne ou d’empreintes peut être faîte de loin via une “simple” photo, avec un zoom adapté et un bon éclairage. Je suis sûr que dès aujourd’hui tu peux le faire à bonne distance avec des équipements grand public. Même pas besoin de frauder les lecteurs (ce qui finirait de toute façon par arriver).



C’est juste une mauvaise idée à mettre à la poubelle d’urgence, à part pour des applis basse-sécurité où le lecteur peut être considéré comme fiable.



MasterDav
Le 10/09/2013 à 16h 50







HarmattanBlow a écrit :



C’est juste une mauvaise idée à mettre à la poubelle d’urgence, à part pour des applis basse-sécurité où le lecteur peut être considéré comme fiable.





T’as une meilleure idée contre l’usurpation ? <img data-src=" />



HarmattanBlow
Le 10/09/2013 à 17h 13







MasterDav a écrit :



T’as une meilleure idée contre l’usurpation ? <img data-src=" />





Un simple mot de passe, spécifique à cet usage, vaut mieux : il est plus difficile à obtenir que ta signature biométrique. On ne peut pas scanner ta mémoire et ce n’est pas un mdp unique utilisé partout depuis X décennies.



Triple identification &gt; double identification &gt; mdp &gt; biométrie. La biométrie peut éventuellement être utilisée comme facteur d’identification secondaire cela dit.



MasterDav
Le 10/09/2013 à 17h 37







HarmattanBlow a écrit :



Un simple mot de passe





Nope.

Un pass ça se lit par dessus une épaule, ça se filme via satellite, ça se recopie via les traces de doigts etc…

Surtout que le mot de passe est généralement sur un post-it collé à l’écran, visible à tout le monde.

Biométrie &gt; password <img data-src=" />



HarmattanBlow
Le 10/09/2013 à 18h 19







MasterDav a écrit :



Un pass ça se lit par dessus une épaule, ça se filme via satellite, ça se recopie via les traces de doigts etc…

Surtout que le mot de passe est généralement sur un post-it collé à l’écran, visible à tout le monde.

Biométrie &gt; password





La sécurité d’un facteur d’identification dépend toujours du contexte (ce dont on veut se protéger : collègues, attaques en ligne, etc) et les avantages de la biométrie sont bien minces (tu les as cités : pas de regards indiscrets et moins de mauvaises pratiques) au regard de ses inconvénients radicaux (mdp perpétuel lisible sur ton visage discrètement et à distance à tout moment).



En ce qui concerne les satellites braqués sur toi, soit tes soupçons sont fondés et j’espère alors que tu as recours à une triple identification, soit ils ne le sont pas et une visite chez un psy s’impose.

<img data-src=" />



MasterDav
Le 10/09/2013 à 18h 41







HarmattanBlow a écrit :



En ce qui concerne les satellites braqués sur toi, soit tes soupçons sont fondés et j’espère alors que tu as recours à une triple identification, soit ils ne le sont pas et une visite chez un psy s’impose.

<img data-src=" />





C’était un clin d’oeil à ce que tu disais sur la photo zoomée ;)



Groumfy
Le 10/09/2013 à 19h 32







HarmattanBlow a écrit :



Non, ton propos portait uniquement sur l’utilisation du téléphone comme moyen de secours en cas de perte de mot de passe (ce qui est hors-sujet car sans aucun rapport avec la news). Aucun des tes arguments ne portait sur la double identification qui est, j’insiste, totalement différent. Et les générateurs de mdp uniques que tu présentais comme la solution ont en fait exactement les mêmes défauts s’ils sont utilisés comme moyen de secours.





Cite le N° de post sur les générateurs, merci.

Avant de basher, lis mieux, merci.



Que le N° de tél serve de double auth et/ou de récup, je m’en cogne. Il est associé, et c’est tout ce qui compte.



Le téléphone devient un élément clé de la sécurité, et comme je l’ai écrit par contre, un téléphone ça se perd et se vole. C’est statistiquement faible, mais quand ça arrive, tu es dans la grosse merde.




HarmattanBlow
Le 10/09/2013 à 20h 05







Groumfy a écrit :



Cite le N° de post sur les générateurs, merci.

Avant de basher, lis mieux, merci.





Je t’ai attribué par mégarde les propos de quelqu’un d’autre sur les générateurs uniques de mdp mais le problème reste le même : ta critique n’a rien à voir avec ce dont il est discuté aussi et tes arguments ne s’appliquent pas.





Que le N° de tél serve de double auth et/ou de récup, je m’en cogne. Il est associé, et c’est tout ce qui compte.



Dans un cas il affaiblit la sécurité, dans l’autre il la renforce. C’est comme parler du danger des ambulances puisque les ambulances sont des véhicules et que les véhicules tuent.





Le téléphone devient un élément clé de la sécurité, et comme je l’ai écrit par contre, un téléphone ça se perd et se vole. C’est statistiquement faible, mais quand ça arrive, tu es dans la grosse merde.



Une fois tous les dix ans, tu n’auras plus ton accès pendant deux jours. Le reste du temps ton accès sera davantage sécurisé. Et en cas de perte ta sécurité sera toujours meilleure qu’avec un simple mdp. Plus sûr dans tous les cas de figure !



Fuinril
Le 10/09/2013 à 23h 30







Obidoub a écrit :



Le manager v5 est une horreur, non seulement on ne trouve rien mais en plus c’est bourré d’Ajax et ultra lent si la connexion est un peu dégonflée.







V3, V5…. les managers d’OVH c’est de la merde : un site internet c’est juste pas fait pour gérer ce genre de choses….



Ma vie a changé le jour où j’ai découvert MoM. Gestion intégrale de ses services nettement plus simple, accessible et intuitive, gestion du multicompte….



C’est pas parfait (je pense à la durée de session qui fait qu’on ne peut plus rien faire si on est timeout MAIS qui ne déconnecte pas de MoM si un dev d’OVH passe dans le coin), mais comparé au manager c’est la panacée !



OVH, la boîte qui fait des trucs biens mais communique sur les trucs pourris…



jmc007
Le 11/09/2013 à 00h 00

Comme on dit en informatique il y a la byte et le couteau..

La byte dans le lecteur pour s’authentifier (dixit bigard avec son empreinte sur le lecteur sa porte pour l’ouvrir) et la clé USB sur le couteau de poche dans le pc (contient son jeton)…



Voila la double authentification….



<img data-src=" />


Anonyme
Le 11/09/2013 à 08h 22

Petite question… (sûrement très bête) Si on a ouvert son compte depuis la France, qu’on active “cette chose” avec un 06 et qu’on part vivre dans des contrées éloignées longtemps, très longtemps et qu’on met change le 06 par un numéro local, ça doit fonctionner quand même non?


Actulipe
Le 11/09/2013 à 09h 23

Pour le moment je ne le fait pas car il n’y à aucun moyen de signaler la perte de sont téléphone !!!