Je viens de faire le test ici avec Gmail, aucun souci avec l’autologin (aussi testé sur FF avec le même résultat).
J’avais constaté exactement le même comportement, qui a depuis disparu… sans que je sache pourquoi ?
Un souci avec le cache / cookies etc. ?
Utilisateurs sous macOS, allez verifier que vous êtes bien à jour. Y’a une petit faille dans les version de 1Password inférieures à 8.10.36.
Rien de dramatique, puisqu’il faut que votre machine soit déjà compromise, mais c’est aussi l’occasion de vérifier que les M.A.J automatiques sont bien activées chez vous.
Après avoir passé le pas début juillet et avoir pris un abo 1P, j’ai enfin pris le temps de passer tous mes 2FA de Authy dans 1P.
Mais il reste la question du 2FA de 1P lui-même… comment vous gérez ça vous ?
Je suppute qu’il n’est pas concevable de le gérer dans 1P, ça se mordrait un peu la queue, non ?
À partir du moment où l’app est installée sur au moins deux devices, non, c’est tout à fait utilisable. Au pire, tu fous le 2FA dans une autre app juste pour 1Password.
La secret Key est déjà une forme de 2FA, non ?
Exactement ce que j’ai fait. Et ca ne t’empêche pas de l’avoir aussi dans 1Password.
Comme les autres, 1paswword lui même peut fournir son propre code temporaire.
Oui, mais je pensais plutôt à la 2FA par OTP (j’ai mentionné le passage de Authy à 1P), je n’ai pas été assez précis.
Si tu parles bien d’OTP, comment tu as fait ?
On peut avoir la génération d’OTP sur deux applis d’authentification différentes en même temps ?
Oui oui, ça je sais, je l’ai fait pour les autres 2FA par OTP que j’avais dans Authy auparavant, mais ma question résidait essentiellement dans le fait de pouvoir déverrouiller 1P avec un code temporaire venant de 1P lui-même…
Je suppose que je me pose trop de questions et qu’avec 1P déverrouillable avec mes empreintes sur le smartphone (ou sur un autre appareil de confiance), c’est totalement transparent.
A priori, pas pertinent pour 1password lui même sur un même device (d’après ce que j’ai compris) :
https://1password.community/discussion/35455/otp-tfa-to-unlock-1password-itself
Oui. Derrière le QR code, un setup de TOTP, c’est jamais qu’une URI au format
otpauth://totp/Example:alice@google.com?secret=JBSWY3DPEHPK3PXP&issuer=Example
- Option1: tu scannes le QR code avec 2 applis, tu verras que les codes générés sont exactement les mêmes (au décalage d’horloge près).
- Option2: si ton TOTP est déjà dans 1Password, tu édites l’entrée, tu copies l’URI du champ
mot de passe à usage unique
, et tu la colles dans ton autre appli d’authentication. Il faut évidemment que celle ci supporte l’URI. J’ai testé avec Proton Pass, et ca marche sans problème.
Non, j’avais bien compris.
Mais c’est plutôt que je ne comprends pas ce que l’OTP va offrir de plus par rapport à la secret key
This.
Aegis (exemple d’app parmi d’autres) permet aussi de copier des setups TOTP facilement d’un device à un autre juste en scannant de gros QR codes qui regroupes plusieurs entrées d’un coup (en gros tu scannes 2-3 QR codes générés par l’app et elle est prête sur le second device).
Du coup, quelle est l’utilité de pouvoir sécuriser 1P via une 2FA par OTP, pourquoi ont-ils codé cette feature ?
Ben, c’est la question que je (me) pose ?
L’utilisation de l’OTP dispense-t-il d’utiliser la secret Key ?(Je ne pense pas)
L’OTP est-il requis à chaque connexion ou seulement à la première (sur un appareil sûr) ?
Ça dépend du site. En général c’est une fois par device, mais ça revient quand le cookie expire.
Attention qu’il peut y avoir une mauvaise compréhension de notre interrogation, due au fait que 1P peut servir d’outil pour gérer l’OTP et (a priori) être sécurisé via OTP…
Notre interrogation porte sur la sécurisation de 1P via OTP, pas celle d’autres sites dont l’OTP est géré par 1P. (oh la vache, j’ai mal au crâne en me relisant… )
Ah pardon.
J’ai l’OTP de 1Password dans 1Password.
Je comprends l’interrogation en cas de déconnexion de partout, on est devant un serpent qui se mord la queue.
Je n’ai jamais été devant ce cas de figure, mais effectivement, il faut toujours avoir au moins un device encore connecté pour ne pas être bloqué (entre l’extension et l’appli + le mobile et un éventuel autre pc faudrait pas avoir de chance).
Ils mettent en garde là-dessus sur leur site :
Although 1Password can be used to store one-time passwords for other services where you use two-factor authentication, it’s important to use a different authenticator app to store the authentication codes for your 1Password account. Storing them in 1Password would be like putting the key to a safe inside the safe itself.
La seule solution en cas de blocage consiste à contacter le support pour qu’ils débloquent, il y en a pas mal dans ce cas sur leur forum.
Pas envie d’installer Authy juste pour ça, mais du coup, je viens de copier la clé OTP (sous la forme otpauth://totp/1Password:my.1password.com…) dans une note sécurisée sur evernote.
Ça permet de récupérer le code temporaire en installant une appli OTP au cas où.
Se pose alors la question de la sécurisation de cet OTP.
Tu cites un stockage sur authy ou evernotes, mais quid de la sécurité de ces applis ? Où stocker l’accès à ces applis (dans 1p ?lol retour au point de départ…) et de leurs potentiels failles de sécurité ?
Multiplier les stockage, c’est aussi multiplier les risques…
Je voyais ça justement comme une dispersion de l’information.
En cas de piratage de l’une de ces solutions, que ce soit dans evernote ou authy, un code OTP seul ne sert à rien. Bien entendu, que ça soit dans evernote ou ailleurs, la clé otp stockée ne doit pas être accompagnée des identifiants.
Et en cas de plantage ou de perte de données chez un éditeur, il y à toujours 2 ou 3 mots de passe à connaitre par coeur. Pour moi c’est mon gmail (plusieurs modes d’obtention du 2FA possibles dont le SMS), mon evernote (2FA dans 1Password et codes de secours dans Gmail) et bien sûr 1Password.
Je pense être paraît à toute éventualité tant que je n’ai pas plus d’un sur les trois services qui disparaît du jour au lendemain. Vu la taille de ces boites ce serait surprenant.