Seenthis
•
 
Identifiants personnels
  • [mot de passe oublié ?]

 
RSS: juba
tous les messages de juba

juba

@julien
//
  • juba @julien CC BY-SA 21/05/2012 11:37
    1
    @fil
    1

    Google Authenticator - #Android Apps on #Google Play
    https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en

    Enable 2-step verification to protect your account from hijacking.
    Google Authenticator generates 2-step verification codes on your phone.

    Une appli android (mais ça existe aussi pour iOS apparemment) qui permet de faire de l’#authentification multifacteur. Pour se connecter à son compte Google, on doit saisir son identifiant et son mot de passe comme d’habitude, mais on doit également renseigner un code personnalisé qui apparaît sur l’appli de son téléphone et qui change toutes les 30 secondes.

    Le code de l’application est disponible :
    https://code.google.com/p/google-authenticator

    Ça repose sur un standard nommé TOTP :
    http://tools.ietf.org/html/rfc6238

    Et du coup ça peut s’utiliser à différents endroits : pour l’instant j’ai pu tester Google et AWS (Amazon Web Services). Le même type de système existe pour ebay et Paypal par exemple, mais avec une appli à part nommée VIP Access, et qui m’inspire moins, l’app de Google ayant l’avantage d’être open source et de ne demander aucune permission particulière.

    https://play.google.com/store/apps/details?id=com.verisign.mvip.main
    https://vipmobile.verisign.com/home.v

    Enfin, il existe même un module PAM :

    http://code.google.com/p/google-authenticator/wiki/PamModuleInstructions

    ce qui permet de l’utiliser pour de l’authentification utilisateur sous #Linux (en #SSH par exemple) :

    http://www.mnxsolutions.com/security/two-factor-ssh-with-google-authenticator.html

    Pour ceux qui auraient peur d’être bloqué en cas de perte ou d’indisponibilité de son téléphone, plusieurs mécanismes permettent d’éviter ce genre de désagréments :
    – sauvegarde de la clé permettant de générer les codes temporaires
    – génération de plusieurs « scratch-codes », mots de passe fixes à usage unique pouvant être utilisés en cas d’urgence
    – sélection de certains ordinateurs comme étant « de confiance » pour les comptes Google, et donc avec une authentification « simple » pendant trenete jours

    #sécurité

    • #Google
    • #VIP
    • #David M’Raihi
    • #Android
    • #BSD
    • #UNIX
    • #secret key
    • #TOTP Algorithm
    • #Portwise Inc.
    • #Unix
    • #Diversinet Corp.
    • #VeriSign Inc.
    • #PDF
    • #IETF Trust
    • #HOTP algorithm
    • #validation server
    • #Android
    • #Salah Machani
    • #Internet Engineering Task Force
    • #Internet Engineering Steering Group
    • #Errata Exist Internet Engineering Task Force
    juba @julien CC BY-SA
    Écrire un commentaire

thèmes

  • #android
  • #authentification
  • #google
  • #linux
  • #sécurité
  • #ssh

  • Company: Google
  • Person: David M’Raihi
  • OperatingSystem: Android
  • OperatingSystem: BSD
  • OperatingSystem: UNIX
  • Technology: secret key
  • Technology: TOTP Algorithm
  • Company: Portwise Inc.
  • Technology: Unix
  • Company: VeriSign Inc.
  • Company: Diversinet Corp.
  • Company: IETF Trust
  • Technology: PDF
  • Technology: HOTP algorithm
  • IndustryTerm: validation server
  • Product: Android
  • Person: Salah Machani
  • Organization: Internet Engineering Task Force
  • Company: Internet Engineering Steering Group
thématisation automatique par OpenCalais
À propos de Seenthis Propriété intellectuelle Recommandations API