Suite au topic ci-dessous où je rebondissais à une remarque de Thagor sur le double authentification, j’ouvre un topic spécifique puisque Thagor proposait gentiment d’en parler 
En tout cas je n’avais pas compris à quoi servait cette appli android.
Même si la sécurité est cruciale sur ce genre de compte, je trouve ce système de SMS vraiment trop contraignant. J’ai assez souvent à me relogger sur mes comptes google, même sur le PC de la maison (probablement aux MAJ de chrome), et s’il faut dégainer le portable à chaque fois, bof.
Je trouve vraiment qu’on multiplie les choses, jusqu’à les rendre interdépendantes et si l’un des maillons vient à manquer (perte, vol, bris, whatever) j’ai peur que ça devienne vite une grosse galère.
Et symboliquement, ça me pose souci qu’on doive de notre côté (utilisateur, pas client puisqu’on est le produit chez google/FB/etc…) se compliquer l’existence pour assurer la sécurité quand ça devrait uniquement leur taf et pas le notre.
Je suis déjà passé à l’authenticator chez Blizzard, mis la main au portefeuille pour 1Password, on va peut-être s’arrêter là…
edit : orthographe.
Question d’ailleurs je met la double verif sur google.
K je me connecte a gmail il m’envois un sms ok …
Par contre si je recois mes emails en imap il se passe quoi ?
Merci
Pour les applications tierces (android, imap, etc…) ils te file un mot de passe à usage unique. Tu l’entre une fois et ton application est “authentifié”. J’imagine que c’est des codes qui permettent de lire/écrire des mails mais pas de changer les paramètres du compte mais j’ai pas tester.
Yep c’est ca j’ai testé.
Mais du coup ca one shot pour un truc 
Ce qui est un peu dommage.
Par exemple ton thunderbird n’a qu’un seul mot de passe unique que tu ne choisit pas.
Donc soit je le laisse par defaut et la vas y pour t’en rappeler, soit je le garde en memoire et comment dire …
Mais sinon merci de l’astuce.
Ben ils insiste bien sur le “ne vous rappeler pas de ce mot de passe”. Si sécurise bien ces mots de passe, ça dois pas poser trop de problème. Et si elle sécurise pas, ben tu reste avec la double authentification valable 1 mois.
Je voulez dire en memoire de thunderbird pardon.
J’ai bien compris c’est sur :
que je réagissais. 
Et j’avais oublié un mot dans mon post…
(fait gaffe t’arrive à ton 6666 ème message ;))
L’idée avec les passwords uniques générées pour les applis tierces, c’est de ne pas s’en rappeler, mais d’en générer un pour chaque type d’utilisation et laisser l’application “s’en souvenir” (un pour thunderbird, un pour le smartphone, un pour chorme, etc …). Si par hasard un de ces passwords est corrompu (smartphone volé/perdu par exemple), vous pouvez le révoquer, et ainsi le smartphone en question n’aura plus accès à votre compte google.
Pour les PCs “sûrs” (par exemple j’utilise gmail sur mon PC au boulot), vous pouvez certifier le PC pour 30 jours: besoin de la double authentification que une fois par mois sur ces machines-là.
Pour ma part je l’ai activé depuis quelques mois, les hacks deviennent vraiment trop fréquents. Je n’utilise pas les SMS mais l’application Google Authenticator, et comme moyen de secours, il y a la possibilité de générer une petite feuille de 10 codes à glisser dans le porte-monnaie. Je l’ai également activé sur le compte de ma femme, configuré son smartphone et Mail sur son mac, et concrètement elle ne s’est aperçue de rien. Je vous encourage vraiment à l’utiliser, ça se fait dans le e-banking depuis des années et il y de bonnes raisons.
@Bussière : pourtant, je fais ça sur à peu près 30 applications/appareils et ils gardent le mdp en mémoire indéfiniment. Quand tu donnes cette clef comme ton mot de passe et que tu l’enregistres, of course, ça reste la même. De toute manière, c’est un usage unique, comme tu l’as précisé (et c’est fait, du coup, pour ton bureau, chez toi). Après, c’est Thunderbird qui chie un peu : il devrait demander une authentification différente, comme le font certaines applis qui n’ont pas besoin de code, juste d’être liées à ton compte Google (avec accès révocable) pour t’éviter l’emmerde si tu veux laisser un mdp à chaque connexion.
Sinon, de manière générale, je m’y suis fait, mais j’ai été plusieurs fois dans la merde, oui. Par exemple quand j’étais chez Free Mobile, au début, impossible de recevoir les SMS de l’étranger, et le numéro d’envoi est un numéro US. Là, c’était pas cool, y’a toujours moyen de faire quelque chose, mais ça reste laborieux. Je préfère limite un truc qui n’est pas dépendant des aléas du réseau télécom, comme le Blizzard Authenticator, qui t’affiche un code temporaire avec n’importe quelle connexion, 3G, Wifi, whatever.
²LordK :: voilà, le principe du Blizzard Authenticator est quand même plus pratique puisqu’indépendant. Si pour une raison ou pour une autre tu as un reset de ton téléphone et que tu utilisais l’appli mobile, bonjour la galère…
J’en ai exactement la même utilisation (et Madame aussi du coup) et ça marche très bien.
Le jour où j’ai un problème, j’ai ma petite liste de secours dans un dossier à la maison, et le reste du temps je dois juste authoriser un ou deux PC tous les mois avec l’appli Google qui va bien (aucun SMS).
Ben justement, il y a Google Authenticator pour éviter ça. Ou alors je n’ai pas compris ton cas d’utilisation.
Perso l’avantage du sms, c’est que ca me tilte quand quelqu’un tente de bidouiller mon compte …
J’ai fait ca pour fb, et j’ai recus quelques sms de temps en temps.
@Twin : je ne suis pas fan du Google Authenticator, parce que Google c’est un gros mur dans ta gueule si t’as le moindre problème. Quand mon One S s’est reset de A à Z sans aucune raison, j’ai perdu mon Blizz authenticator, et je l’ai récupéré dans les 2h, grâce à un service client qui est quand même au top chez Blizzard pour ce genre de truc. Chez Google, la seule expérience SAV (enfin, SAP, pour Service Après Produit, parce que dans le monde du gratuit, on n’est pas client) que je connais, c’est quand on m’a désactivé mon compte Google + parce que j’avais mis un pseudo, en me promettant de le rouvrir sous 10 jours. Résultat, 3 mois après, il était toujours fermé (et je l’ai rouvert en le clôturant/re-créant, même si je ne l’ai plus utilisé après ça). Je crois que ceux qui ont eu le même problème n’ont toujours pas retrouvé leur compte (summon PandaPacha).
Du coup, non, un truc Google lié à mon smartphone qui me donne accès à à peu près toute ma vie pro et perso sur internet, nope.
D’ailleurs à ce sujet, j’aimerai que si on veut être client de gmail, ça soit possible. Autrement dit de payer pour une prestation et avoir une obligation de résultats. Après on peut faire ça par option. Par exemple pour Picassa pas besoin d’option payante pour moi car je m’en sers pour le loisir, pour d’autre personnes ils ont un mail principal autre gmail et prefère ne pas payer pour gmail etc…
Google n’a pas seulement percé car il est gratuit mais surtout en raison des fonctionnalités que les autres messageries n’avaient pas. Mais après on aimerait sécuriser et contractualiser les parties de google qui sont importantes pour nous sans nous entendre dire que c’est gratuit donc allez vous faire voir et plouf tout perdu du jour au lendemain. En tout cas, et je devrais le faire plus souvent, tout les 2 ans je purge mes messages et je les mets offline sur un disque.
[quote=« LordK, post:14, topic: 54411 »]
Du coup, non, un truc Google lié à mon smartphone qui me donne accès à à peu près toute ma vie pro et perso sur internet, nope.[/quote] Y’a un mot de passe sur cet appli ? ou le mec qui ramasse le téléphone dans la rue s’il a réussi à obtenir le code PIN c’est comme dit LordK ? Maintenant perdre un smartphone c’est comme perdre ses papiers.
C’est à ton téléphone d’être sécurisé (mot de passe, … :)). Ça reste aussi (voire plus) sécure qu’un SMS envoyé à ton numéro.
Par contre l’image des papiers est très vraie. Avec les lastpass/1password, y a tous mes mots de passe dans la mémoire. Si le truc tombe dans de mauvaise mains, ça peut être très moche…
Il n’y a pas de mot de passe sur l’appli mais le code généré est à fournir en plus de ton mot de passe google quand tu te logge depuis ton navigateur. Donc le téléphone seul ne sert à rien. Et si tu crames ton téléphone, il te reste les codes de secours à imprimer qui t’ont été fournis au moment de l’activation de la two-steps authentication.
C’est bien pensé leur truc, même si je comprends tout à fait le prolème de « mur » exposé par LordK.
C’est ça. Il y a un moment où tu imagines le pire (perte de tes codes + perte de ton smartphone ou impossibilité d’accès) et avec une firme “fantôme” comme Google, pour moi ça passe pas (et ça passe sûrement pas non plus dans un contexte pro, mais cela dit, je pense que dans ce cas, un compte Google Apps a, lui, un véritable SAV.).
Et ça coûte un bras ou alors c’est accessible aux particuliers Google Apps ? Mais je prefererais un service google pour particuliers avec obligation de résultats.
Ils ont rajouté la notion de trusted computer recemment aussi, ca evite pour le PC de la maison par exemple de refaire une double authentification.