Reprise du message précédent :

Vu l'espace disponible en général, ils pourraient aussi afficher le code précédent en plus petit et grisé en dessous du code actuel (vu qu'il reste encore valable 30 secondes).
 
Bon donc personne n'utilise de connexion SSH avec une clé physique... va falloir que j'investigue

Pour l’instant, c’est pas au menu, j’ai que des matrices de rotation que je compose moi-même.

WTF, le driver Prolific a détecté une fausse puce Prolific pl2303 et l'a "briqué"  

J'ai plusieurs convertisseurs liaison RS-232 USB, dont un acheté à l'arrache rue Montgallet, et avec manifestement une puce pl2303 "piratée". Jusqu'à présent, le driver générique de Windows la détectait comme une pl2303 mais Linux refusait de la lire. Quand j'ai installé le driver "officiel" Prolific, le convertisseur a été briqué.

c'est connu je crois
 
edit: http://wp.brodzinski.net/2014/10/0 [...] o-install/

On ne rembourse pas. Ni repris ni échangé ni remboursé

https://youtu.be/HxTqpR7X0K8?t=2174
'tain la démonstration sort vraiment de l'espace.
 
Les maths c'est vraiment qu'une série de tricks.

Ou n'importe quel téléphone Android un minimum récent.
Ou un iPhone avec Google smart lock.

Oui ordinateur au sens large, mais fondamentalement j’ai beaucoup moins besoin de MFA depuis mon téléphone que depuis mes ordis perso.

Justement, l'idée c'est d'utiliser ton téléphone comme clé pour le MFA sur ton ordinateur.

c'est pas "google authenticator" l'app pour l'OTP ?

Si mais le TOTP c'est autre chose.
 

"Par contre on peut vous vendre un FTDI à la place... "
(Much : ne fait pas ça )

OK, j'ai désinstallé le driver pour la puce fake et il remarche.
Par contre , ce qui est bizarre, c'est que le convertisseur avec une puce officielle marche avec certains appareils et pas d'autres. Je veux dire par là que je vois que dalle avec le GNSS (alors qu'avec la fake pl2303 ça fonctionne), mais avec un autre appareil, je reçois bien des données.
Conclusion, la Prolific pl2303, évitez, c'est de la merde, prenez des convertisseurs basés sur puces FTDI.

Trop tard
Le truc avec FTDI est le seul qui marche partout.

ce que beel1 veut dire c'est qu'il y a tout autant de FTDI fake eux aussi bloqués par le driver FTDI officiel

ah oui, ok. Et que le mec qui te vend un Prolific fake te vendra aussi un FTDI fake.
Ceci dit je m'en fous, pour l'instant la Prolific reconnue comme officielle est celle qui marche le moins bien.

Le hardware de contrefaçon, vous m'aurez appris un truc aujourd'hui.
 
Remarque j'ai eu un PC avec une carte-mère Tyan contrefaite en 1995.

techniquement, c'est un petit MCU avec un microcode dedans, donc ils essayent de répondre sur les pins de la même manière que le vrai chip.

Ça a plus ou moins toujours existé non? Les fausses rolex, les chargeurs contrefaits, les faux HDD (genre les disques externes magiques), les fausses clés USB (tout le monde se souvient de la clé USB mythique de much’), … t’as aussi du faux hardware dans des contextes de sécurité, il y a quelques années il y a des boites qui ont briqué leurs switch cisco avec une maj de routine… avant de se rendre compte que c’était des faux.

 
les faux SFP ...

il y avait aussi une histoire de fausse puce de memoire cache sur la carte mère à l'époque

Bon ben ça a l'air pratique :
https://youtube.com/watch?v=4lPvjON [...] ares&t=209
 
accès SSH à un compte non root mais sudoer.
Utilisation de la clé quand elle est là
sinon code 2FA sur smartphone.
 
Ca semble pas mal.
 
Faudrait voir s'il y a une appli de ssh sur Android qui gère les clés. Je ne sais pas si c'est natif ou s'il faut un truc spécifique.

https://en.wikipedia.org/wiki/Pick%27s_theorem
y'a une formule simplifiée pour l'aire des polygones qui sont sur une grille

Inside Elon’s ‘extremely hardcore’ Twitter
 
J'aime beaucoup la barre verticale qui décroit plus on scroll l'article

Le premier levier c'est l'éducation, expliquer les bases à tes équipes, meme les plus limitées

L'avantage d'une petite boîte tech c'est que globalement ta des gens bien éduqués sur les principes de sécu

Ah et sinon DHH a encore frappé sur le cloud, en montrant ses factures actuelles L'épisode avec Suse m'a bien fait rire

J'ai des contre-exemples

 
Des noms Et surtout je précise que j'ai dit « globalement »

Je pense que c'est plutot l'inverse pour des raisons naturelles : moins d'énergie a y passer, moins de formation, moins de filtres au recrutement, moins de demandes des clients  
Tu ne traines probablement pas avec la "petite boite tech" standard
 

Il parle d'une petite boîte tech (i.e chez lui).

le post n'est pas très long, je suis certain que tu peux arriver à la seconde ligne avant de valider la réponse
 
Sois fort !    

J'ai quand même vérifié qu'il n'y ai pas un édit sournois

L'un empêche pas l'autre

Mais non enfin...
Il n'y a pas que la vue qui baisse avec le temps, les capacités cognitives aussi

Je suis vieux mais plus jeune qu'harko et much'

Comparaison audacieuse, vu où ils en sont ca m'inquièterait plus qu'autre chose

 
ssh avec yubikey, t'as un truc pas mal du tout
 

 
Je suis pas un expert, mais quand j'écoute notre red team, ils disent que depuis que G a massivement adopté les clés c'est devenu vachement plus chaud pour eux de trouver des bons vecteurs d'attaque.
Authy je pense que tu as plusieurs vecteurs d'attaques :  
- si qqn a la seed, il peut generer les memes codes que toi, alors que le couple serial number / password d'une Yubikey est garanti unique (le firmware est read-only)
- c'est un truc web encrypté, on peut concevoir que qqn le décrypte (même problème que les passwords managers). C'est peu probable, mais j'attends de voir l'adoption des recos NIST sur les algo post-quantiques pour etre bien sur
- une clé implique à 100% la possession physique de la clé, c'est une énorme barrière pour plein de types d'attaques.
- les clés sont plus puissantes que juste faire un OTP. Par ex j'ai configuré les miennes pour faire smartcard GPG / SSH, donc quand je fais un git commit ça demande de mettre le pin de la clé, et ça signe le commit. Si je fais un git push, ça demande le pin (si pas commit recemment), et ça envoit ma clé SSH à Github.
 
J'utilise clairement les deux, parce que pour pleins de trucs le TOTP me suffit, mais pour les trucs à base de GPG / SSH je trouve ça hyper plaisant à utiliser.
Au taf de toute façon pas le choix, n'importe quoi qu'on fasse de sensible demande une authentification password + OTP, avec des clés fournies et enregistrées.
 

Je crois que je me suis fait arnaquer sur un site de vente en ligne
 
j'ai cliqué sur une pub facebook
C'est un site shopify, je pense que l'arnaque est assez poussée, il donne un numéro de tracking qui arrive réellement dans le bon pays à la bonne date, mais je soupçonne qu'il ne correspond pas à mon adresse, c'est impossible à vérifier.

Je conçois que c'est plus sécure, mais bon.. Le mec doit recup mon login/mdp et en plus il doit arriver à hack mon authy (ou bien me voler mon téléphone et ma tête pour unlock tout ce bordel ).
Dans mon esprit ça me semble moins probable qu'un mec qui arrive à venir chez moi pour voler ma clé tu vois. Mais je me trompe surement.

Par contre pour les autres protocoles et/ou pour les personnes non lambda, je le trouve pertinent.

C'est pas la deuxième fois que ca t'arrives ? T'en as pas marre de cliquer n'importe où ?