Authentification à 2 facteurs: mieux vaut verrouiller 2 fois

@CorinaS

Que font ceux qui n’ont pas de téléphone portable ?

@WalterB

Ils doivent soit renoncer à la sécurité supplémentaire, soit se procurer un téléphone portable. Tôt ou tard, vous ne pourrez plus accéder à certains services de la vie quotidienne sans téléphone portable.

@hed

Mais vous pouvez également envoyer un code par e-mail, car tout le monde n’a pas assez d’argent dans son portefeuille pour acheter un téléphone portable. 😉

@WalterB

Vous n’avez pas besoin d’un smartphone coûteux uniquement pour recevoir un SMS.

Mais bien sûr, si vous pouviez choisir entre SMS et e-mail, ce serait certainement plus convivial.

Coder par e-mail, c’est très bien - le seul problème est que vous ne pouvez pas accéder au webmail à cause du mot de passe 🤷‍♂️

@POGO 1104

Chaque variante de code a ses avantages et ses inconvénients et il existe encore aujourd’hui de nombreux magasins qui envoient un code par e-mail.

Vous pouvez simplement le proposer comme variante supplémentaire avec le login Swisscom.

La variante que je recherche actuellement est la Clés Yuubico et je cherche où elle pourrait fonctionner n’importe où avec le fournisseur. On parle beaucoup de cette méthode sur YouTube. D’ailleurs, même en dehors de Swisscom, je veux dire

@Lowex

Les clés de connexion étrangères ne sont pas l’idée de votre propre formulaire Swisscom, car il y a alors un plus grand risque qu’il soit piraté.

Le 2FA avec SMS est probablement la variante la moins sécurisée. Malheureusement, Swisscom ne propose que cela et MobileID.

Cela présente également un inconvénient si, par exemple, le téléphone portable est perdu et que plus rien ne fonctionne. Je ne pouvais même pas bloquer ma carte SIM moi-même.

Il serait enfin temps pour Swisscom d’autoriser également le TOTP via l’application pour 2FA ou, en ce qui me concerne, U2F via Yubikey, par exemple.

@WalterB Je pense que vous devez en savoir un peu plus sur les Yubikeys. Je pense qu’à l’heure actuelle, il n’y a pratiquement rien de plus sûr pour les utilisateurs privés que ce qui est également facile à utiliser.

merci @CorinaS pour cet article sur le double verrouillage

“Errare humanum est, perseverare diabolicum”

“L’erreur est humaine, persévérer [dans son erreur] est diabolique”

@Cruncher

Même avec une application, le téléphone portable ou la clé peuvent être perdus si vous perdez un système avec une clé.

@hed Oui, bien sûr. Mais si vous définissez le TOTP dans iCloud, 1Password ou Bitwarden, par exemple, cela ne se produit pas. Uniquement si vous enregistrez l’application sur un deuxième appareil, par exemple.

Avec MultiDevice, les SMS ne fonctionnent que sur 1 appareil. Tout comme MobileID !

Et si vous n’avez qu’une seule clé, c’est de toute façon de votre faute. Il y a des gens qui ont une idée de ces questions de sécurité et qui souhaitent éviter les SMS si possible. MobileID serait certainement utile, mais malheureusement il n’est limité qu’à 1 appareil.

En fait, je ne pense pas que 2FA uniquement avec SMS soit une bonne idée, mais si vous possédez plusieurs appareils Apple, vous pouvez atténuer un peu le problème avec la fonction Apple iMessage “Envoyer et recevoir via plusieurs appareils”.

Oh mon Dieu, mais 2FA via SMS vers le même téléphone portable est probablement une mauvaise blague !

Que se passerait-il si Swisscom proposait un 2FA *réel* et ininterceptable via le TOTP ?

À mon avis, ce serait un réel gain de sécurité car un deuxième appareil pourrait être utilisé pour cela. Désolé, 2FA via le appareil identique est probablement une mauvaise blague !

Excusez-moi, mais 2FA via SMS vers le même téléphone portable est probablement une mauvaise blague !

Et si Swisscom disposait d’un 2FA *réel* et ininterceptable via le TOT[P](https: // www.zaun7.de/doppelstabmattenzaun “clôture à double tige”) offrirait-il ?

À mon avis, Ce serait un réel gain de sécurité car un deuxième appareil pourrait être utilisé pour cela. Désolé, 2FA via le appareil identique est probablement une mauvaise blague !

Découvrez aussi mobilier de jardin à Zurich. Et Achetez une clôture grillagée à double tige !

Tout à fait d’accord avec toi ! Votre approche semble raisonnable.

@hed

L’idée avec TOTP est que vous n’êtes pas obligé de le faire via le même appareil (lire « App » / SMS / MobileID), mais vous pouvez utiliser n’importe quel autre appareil compatible Internet pour 2FA !

(Malheureusement, les responsables de Swisscom ne semblent pas vouloir se rendre compte que le 2FA via SMS et le MobileID via l’appareil IDENTIQUE excluent le DEUXIÈME FACTEUR en soi.

Mais comme le dit le proverbe : l’espoir meurt en dernier ! - Peut-être que les responsables de Swisscom grignoteront aussi avec le temps l’arbre de la connaissance <espoir>)

Addendum : L’effet “aha” risque de se produire chez les responsables au plus tard lorsqu’ils sont eux-mêmes victimes du vol/de la perte d’un appareil mobile. D’un point de vue sécurité, c’était et c’est tout simplement une idée stupide de vouloir tout enchaîner sur un seul appareil ! Confortable? - ok, bien sûr ???? - dans tes rêves (humides) !!!!

Aucun problème avec Apple.

Si vous ne possédez pas qu’un seul appareil à partir de là.

Avec 2FA, chaque appareil sonne pour se connecter… 😉

@Herby

Merci pour la publicité Apple 😁

(il devrait aussi y avoir des gens qui

*ni l’argent

• encore l’opportunité
• toujours la volonté d’être aligné « à la Cupertino ».

avoir)

Le problème reste que 2FA sans un véritable deuxième facteur n’est qu’un pieux mensonge.

Addenda

Et dès que 2FA implique un Américain/Chinois/beat-me-dead/tiers, il « meurt » de toute façon !

Si vous regardez un peu en arrière… les SMS étaient considérés comme incassables et absolument sécurisés. Certaines banques proposaient cela comme seul 2FA à leurs clients.

Comme alternative, il y avait un jeton qui affichait un code différent toutes les 10 secondes.

Si l’utilisateur se connectait à un faux site Web, la réclamation était limitée au solde du compte correspondant.

C’est alors que l’incroyable, l’inimaginable s’est produit.

L’utilisateur s’est connecté à un faux site Web et a été invité à fournir toutes sortes de données provenant du téléphone portable inclus dans le contrat en ligne dans le cadre d’un « contrôle de sécurité ».

Grâce à ces données volées, les fraudeurs ont pu créer une fausse carte d’identité afin de pouvoir, par exemple, s’identifier dans un magasin Swisscom.

Un duplicata de téléphone portable pourra alors être obtenu auprès de l’opérateur téléphonique (mot clé : multi-SIM).

Configurez ensuite tous les messages SMS à envoyer à l’autre téléphone portable.

Ainsi:

1. Connectez-vous au vrai site Web de la banque avec les données obtenues via le faux site Web.

2. Puisque tous les SMS sont désormais envoyés sur l’autre téléphone portable, le compte titres et tous les comptes peuvent désormais être liquidés en toute tranquillité.

Grâce à ce processus de connexion “sécurisé”, des demandes isolées gigantesques pouvant atteindre environ un quart de million de francs ont été enregistrées.

Cela n’était pas possible avec les autres procédures de connexion auparavant courantes, de la liste à gratter à celle avec le jeton - car vous ne pouviez accéder qu’au solde du compte respectif.

Les banques ont désormais poussé CrontoSign - pour certaines banques, c’est la seule procédure de connexion pour les clients.

Il suffirait désormais aux fraudeurs de voler la lettre d’activation afin d’intégrer un autre appareil dans la banque en ligne de la victime.

Est-ce que cela a été réalisé maintenant ? Les dégâts seraient ici tout aussi gigantesques qu’avec les SMS.

Glotzologue