Je trouve que l’on perd des points en terme de sécurité.
Si l’on a une authentification double facteur, nous avions avant les champs : login/pwd/DF.
Pour se loguer, il fallait donc saisir un bon mot de passe et le bon code de double auth.
Si l’un des champs était erroné, cela ne passait pas.
Maintenant, il faut d’abord saisir le couple login/pwd, validé pour ensuite saisir le code de double auth.
Donc il devient facile de vérifier si le mot de passe d’un utilisateur est bon ou pas sans saisir la double auth. Alors qu’avant, c’était impossible sans le code de double auth.
Pas très clair de savoir de quoi vous parlez lorsque vous postez dans un sujet de présentation générique de la sécu 4.2… celle-ci ne se résume pas à l’authentification à deux facteurs => sujet déplacé.
Pour revenir sur le sujet, c’est très discutable…
si on le demande systématiquement alors le problème suivant sera pire car on pourra déterminer si un user existe ou pas (pour peu que le 2FA soit actif sur cet utilisateur) selon que le 2FA soit demandé ou pas et cela même sans connaitre le mot de passe => on divulguera plus vite de l’information
Si on ne le demande que lorsque le mot de passe est correcte, on est dans un cas où l’on peut partiellement faire confiance à l’utilisateur et donc demander la deuxième auth à ce moment a du sens…
Dans votre logique il faudrait demander les 3 infos systématiquement (user/pswd/2fa) même lorsque le 2fa n’est pas actif et tout valider et vérifier en un bloc et à l’utilisateur de savoir ce qu’il doit remplir ou pas sur sa page de login, on perd en expérience utilisateur => pas très intuitif de présenter les 3 champs et de laisser le user se débrouiller mais cela se tient en terme de sécurité…
le choix final doit être fait en fonction du risque et de la probabilité que quelqu’un soit vraiment intéressé par s’introduire sur un système comme jeedom
J’avais aussi remarqué ce changement, pour essayer d’être clair avant la 4.2 quand j’arrivais sur ma page de login depuis un navigateur internet généralement chrome, cela m’affiché le Login et MDP mais dés lors que je mettais mon login il me proposais la 2AF alors que maintenant je dois mettre Login et MDP PUIS validé et ensuite il me propose la 2AF du coup ça fait une petite manip supplémentaire.
Ca me parait être le principe de la 2FA la plupart du temps. Si le premier facteur est OK, on demande le 2nd facteur.
Ex : pour votre carte bleue, on ne vous demande pas de mettre la carte (ou le numéro de carte) et le code en même temps. Vous mettez la carte (facteur de possession, quelque chose que vous avez), puis une fois la carte validée, on vous demande le PIN (facture de connaissance, quelque chose que vous connaissez).
Hello pour ajouter ma pierre à l’édifice, j’ai plusieurs sites avec du 2FA, et cela fonctionne comme jeedom … d’abord user/mdp et si ok affichage du champ pour le code 2FA