Support double authentification FIDO U2F

Bonjour, je n’ai trouvé aucune mention de ce standard dans le forum ou dans les issues Github. Je suppose donc que la fonctionnalité n’est pas supportée aujourd’hui par Cozy et qu’elle n’est pas non plus sur la feuille de route.

Dans la mesure ou mon instance Cozy va se comporter comme un fournisseur d’identité pour des applications tierces (via OAuth), j’aimerai pouvoir utiliser le mécanisme de double vérification U2F de la FIDO, afin de réduire les risque d’accès frauduleux à mon identité.

Les clés compatible se trouvent désormais à un prix abordable. Ce qui permet d’en enregistrer plusieures (une au porte clé + une en backup stockée à l’abris), et de révoquer une clé en cas de perte/vol.

Quel est votre avis sur la question ? :slight_smile:

Hello Emak, bienvenue à bord du nuage :smile:

L’ajout de double authentification est sur notre feuille de route à court terme. Par contre, je ne sais pas quelles méthodes nous supporterons. Les clés physiques sont certes très abordables, mais malheureusement encore très peu répandues parmi le « grand public ». Pour toucher plus de monde, peut-être privilégierons-nous dans un premier temps de la 2FA via l’envoi d’un code par courriel ou Texto.
Mais je fais remonter ta demande aux personnes ad hoc :wink:

Salut,

Oui le 2FA reste simple surtout avec l’app :
https://play.google.com/store/apps/details?id=com.authy.authy
ou
https://play.google.com/store/apps/details?id=com.mufri.authenticatorplus

Je pense que c’est nécessaire au vu des informations synchronisées sur le cloud (factures, banques…)
Merci

1 Like

Bonjour ou bonsoir.

Je songe a ce type de méthode d’authentification avec un périphérique+code jetable généré a la volet car a la longue la gestion de mot de passe devient un enfer.

Mais le grand public ne voudra pas se coltiner une clef USB en plus les gents ont pris l’habitude d’utiliser leur smartphone pour tout et surtout n’importe quoi (genre app fancebook avec app bancaire etc.).

La solution d’un périphérique logiciel me semble un bon compromis:

Une app (pas une boite noire), dispo sur les stores google et apple mais aussi sur github qui simule une carte a puce et générateur de code jetable a la volet.

On ouvre l’app, on connecte le téléphone ou la tablette a son PC par USB, l’app via le smartphone devient terminal de connexion (avec une interface familière style terminal de paiement ou autre un truc que monsieur tout le monde sais se servir etc.), on tape son code pin comme avec n’importe quelle carte a puce sécurisée ou une CB pour lancer le pross.

La “puce” ne serait que un simple fichier que on pourrait imprimer sous forme de QR code au cas ou.

Un compromis qui ne se limiterait pas a cozy.

Si j’ai fais de erreurs ou écrit de sottises merci de me le dire.

Gros +1 pour l’authentification par app Authenticator !

1 Like