Pour moi l'Open PGP c'est la vie. Tu génère une masterkey en air-gappe, et tes subkeys que tu burn sur plusieurs token 2FA (Yubi ou autre comme vous voulez j'ai préférence pour ce qui es open source) Gestionnaire de mdp en gpg, tu sotck dessus a chaque vois tu doit retreive un mdp tu doit tapé le pin dans l'interface et fait un appuis physique sur le token. Si tu trompe 3 fois le token burn les clés, les subkey donc en cas de perte pas de soucis. Pour moi c'est le must, mieux, tes clès touche jamais un pc et surtout ta masterkey reste hors ligne dans un endroit sure et la capacité de révoquer les subkey. Le ssh, les mdp, email, encryption, signature, certificat.. une fois que tu sait faire cela tu peu tout faire. Juste pour ce qui est 2FA en OATH je suis un peu retissant de passé par gpg. mais reste l'otp sur les token ou sur un autre device.
Wohh, je suis bluffé. C'est totalement vrai. Et je dois avouer que j'avais commencé à regarder cela également. Mais je pense que c'est un peu compliqué pour commencer. Mais une fois que tout le monde aura bien compris comment utiliser une clé Yubikey (la plus simple), ça serait super de voir tout le monde passer à l'étape suivante et ce que tu décris. 😊 En tout cas, ça a l'air top ce que tu as fait. 👍🏼
je suis en train de regarder the game changers sur netflix et c'est aussi pas mal, sa parle de nutrition. Comment changer d'alimentation pour mieux. il n'y as pas que le youtubeur nutritionstyle pour sa :) j'adore les videos sur les keys merci à toi :)
Avec le mdp sur la clé, ça revient à une authentification 1 facteur (possession), et non plus 2 facteurs (connaissance et possession). Ceci dit c'est pas inintéressant, pour le coté pratique, d'avoir des authent' simple avec un facteur de possession plutôt que le classique facteur de connaissance (mot de passe).
Exactement. Par contre ça peut permettre d’avoir des mots de passe très long et compliqué à taper sans un gestionnaire de mot de passe que tu mets dans ta clé. Ça peut aider.
Est-il possible d'utiliser onlykey pour faire les mots de passe en plus d'une yubikey pour la deuxième authentification? Dois-je choisir entre les deux?
Salut ! Question: Après avoir cherché dans la Doc du site sans succès. Pourrais-tu m'expliquer quel est le protocole qui rend l'interception de log-in impossible lorsqu'on enclenche la demande de "remplissage" automatique en appuyant sur la clef. Étant donné que lorsque le MDP n'est pas rentré dans une case prévue à cet effet, il s'affiche pleinement et visiblement ? Merci pour ta vidéo! Dommage qu'il n'y ai pas plus de contenu, même en anglais, sur cette carte. Elle a du potentiel !
Hello 👋🏼 Excellente question. 👍🏼 On voit que tu as parfaitement compris les risques inhérents à ce genre d’utilisation. En effet si tu as un malware ou un keylogger sur ta machine, il pourront intercepter le mdp. C’est un remplissage automatique, comme un clavier de tes logins et mdp. C’est pour ça qu’il te faut un MFA. Mais qui est possible avec la même clé. Donc pour te simplifier la vie sans réduire ta sécurité, tu mets en place le remplissage automatique des mdp avec la OnlyKey et ensuite, toujours avec la OnlyKey, tu fais ton MFA hardware. Tu vas juste devoir toucher la clé deux fois au lieu d’une. Mais la, c’est inviolable. 🛡️
Bonjour superbe présentation ! J'ai juste une petite question, on voit les caractères s'afficher rapidement mais étant un HID, logiquement ca ne protège pas d'un keylogger du coup ?
Hello 👋🏼 Merci beaucoup pour le retour. Ça fait plaisir. 😊 En fait c’est effectivement un HID mais c’est pour ne pas avoir à installer de driver pour utiliser le Yubikey. Néanmoins ça ne fait pas transiter ton mot de passe ou le secret comme si c’était un clavier qui le tapait. Tu es parfaitement sécurisé. L’idéal ça serait de faire le test de ton côté. Tu verras que ça n’a aucun sens ce qui est envoyé. 😉
bonjour, merci pour les informations, mais une question se pose, ces clés ont des firmwares et sont crées à un instant T, comment savoir pour combien de temps elles sont valables (sans les casser)?, je m'explique, par exemple la clé kensington, verymark, elle est compatible seulement jusqu'à windows 10, sur leur site on ne peut plus télécharger la mise à jour pour windows 11 (je n'ai pas essayé si elle est reconnue par windows 11, mais le logiciel qui l'accompagne ne l'est plus), pour yubico, l'entreprise explique que le firmware ne peut pas être mis à jour pour des questions de sécurité, comment savoir si elle sera toujours reconnue par les sites ou pour combien d'année elle peut être valable ? merci d'avance pour la réponse, bonne journée
Hello Liza, Merci pour ta question. Tu soulèves des points très intéressants. La différence avec les exemples que tu donnes est notamment que ces clés utilisent des standards et ne sont donc pas liés à un OS. C'est plutôt est-ce que l'OS va continuer à implémenter ce standard. Mais c'est la même chose que de se demander si Windows 11 va continuer à implémenter le standard http. Je ne pense pas que le problème va être à ce niveau-là. Par contre, les clés Yubikey ne peuvent pas mettre à jour leur firmware. Elles peuvent donc ne plus être capable de réaliser les nouvelles fonctionnalités. J'ai par exemple eu ce problème avec mes Yubikeys. J'avais des Yubikey 4 et je voulais utiliser les "Resident Keys" qui ne sont dispo qu'à partir des Yubikey 5 (qui ont le firmware 5). L'impossibilité de mettre à jour le firmware est pour une question de sécurité (ou de volonté de revendre de nouvelles Yubikey). Par contre, la OnlyKey peut mettre son firmware à jour. Elle ne devrait donc jamais être obsolète tant que l'éditeur suivra. En outre, son firmware est open-source. On peut donc même penser que si jamais l'éditeur venait à faire faillite, la communauté pourrait prendre le relais. Par contre la OnlyKey est beaucoup plus cher (et peut être un peu plus compliqué à utiliser). Qu'en penses-tu ? Qu'elle serait ta stratégie d'achat d'une clé de sécurité au regard de mes réponses ?
merci pour ta réponse très rapide et très exhaustive, je comprends, j'ai regardé sur Amazon, le prix est plus cher 69€, s'il faut 2 clés, une de sécurité, ça fait 140 €, je reste indécise, mais en regardant, j'ai découvert la possibilité d'installer un logiciel de double authentification (qui est gratuit, où il y a une partie freemium et qui devrait toujours être mis à jour) par exemple Authy de Twilio, il y en a d'autres aussi, il est vrai qu'avec la clé, on évite de réécrire encore une fois le code (chose qu'il faut faire avec ce logiciel et puis du moment que le logiciel est cassé en deux (une partie sur pc et une partie sur smartphone, ça devrait être sûr, qu'en penses-tu ? une belle journée
Le logiciel qui te permet de mettre en place un OTP (One Time Password) est une bonne méthode de MFA (Multi Factor Authentication). Cela résous le même problème. C’est juste que la OnlyKey te simplifie la vie et les possibilités sont beaucoup plus importantes. Commencer avec une application d’OTP est un très bon choix. Et tu pourras toujours voir pour prendre une OnlyKey ou une Yubikey par la suite si jamais tu vois que tu es limité. 😊
Pour moi l'Open PGP c'est la vie.
Tu génère une masterkey en air-gappe, et tes subkeys que tu burn sur plusieurs token 2FA (Yubi ou autre comme vous voulez j'ai préférence pour ce qui es open source)
Gestionnaire de mdp en gpg, tu sotck dessus a chaque vois tu doit retreive un mdp tu doit tapé le pin dans l'interface et fait un appuis physique sur le token. Si tu trompe 3 fois le token burn les clés, les subkey donc en cas de perte pas de soucis.
Pour moi c'est le must, mieux, tes clès touche jamais un pc et surtout ta masterkey reste hors ligne dans un endroit sure et la capacité de révoquer les subkey.
Le ssh, les mdp, email, encryption, signature, certificat.. une fois que tu sait faire cela tu peu tout faire. Juste pour ce qui est 2FA en OATH je suis un peu retissant de passé par gpg. mais reste l'otp sur les token ou sur un autre device.
Wohh, je suis bluffé.
C'est totalement vrai. Et je dois avouer que j'avais commencé à regarder cela également.
Mais je pense que c'est un peu compliqué pour commencer.
Mais une fois que tout le monde aura bien compris comment utiliser une clé Yubikey (la plus simple), ça serait super de voir tout le monde passer à l'étape suivante et ce que tu décris. 😊
En tout cas, ça a l'air top ce que tu as fait. 👍🏼
Je viens de découvrir cette chaîne c'est très cool ! keep up !
Hello RikentonaY,
Merci beaucoup 🙏🏼
Ça me fait ultra plaisir de voir ton commentaire. 🤘🏼
je suis en train de regarder the game changers sur netflix et c'est aussi pas mal, sa parle de nutrition. Comment changer d'alimentation pour mieux. il n'y as pas que le youtubeur nutritionstyle pour sa :)
j'adore les videos sur les keys merci à toi :)
Je savais que les Keys ça te plairait. 😁
héhé
Avec le mdp sur la clé, ça revient à une authentification 1 facteur (possession), et non plus 2 facteurs (connaissance et possession). Ceci dit c'est pas inintéressant, pour le coté pratique, d'avoir des authent' simple avec un facteur de possession plutôt que le classique facteur de connaissance (mot de passe).
Exactement.
Par contre ça peut permettre d’avoir des mots de passe très long et compliqué à taper sans un gestionnaire de mot de passe que tu mets dans ta clé.
Ça peut aider.
Est-il possible d'utiliser onlykey pour faire les mots de passe en plus d'une yubikey pour la deuxième authentification? Dois-je choisir entre les deux?
Salut ! Question:
Après avoir cherché dans la Doc du site sans succès.
Pourrais-tu m'expliquer quel est le protocole qui rend l'interception de log-in impossible lorsqu'on enclenche la demande de "remplissage" automatique en appuyant sur la clef.
Étant donné que lorsque le MDP n'est pas rentré dans une case prévue à cet effet, il s'affiche pleinement et visiblement ?
Merci pour ta vidéo! Dommage qu'il n'y ai pas plus de contenu, même en anglais, sur cette carte. Elle a du potentiel !
Hello 👋🏼
Excellente question. 👍🏼
On voit que tu as parfaitement compris les risques inhérents à ce genre d’utilisation.
En effet si tu as un malware ou un keylogger sur ta machine, il pourront intercepter le mdp.
C’est un remplissage automatique, comme un clavier de tes logins et mdp.
C’est pour ça qu’il te faut un MFA. Mais qui est possible avec la même clé.
Donc pour te simplifier la vie sans réduire ta sécurité, tu mets en place le remplissage automatique des mdp avec la OnlyKey et ensuite, toujours avec la OnlyKey, tu fais ton MFA hardware.
Tu vas juste devoir toucher la clé deux fois au lieu d’une.
Mais la, c’est inviolable. 🛡️
Bonjour superbe présentation ! J'ai juste une petite question, on voit les caractères s'afficher rapidement mais étant un HID, logiquement ca ne protège pas d'un keylogger du coup ?
Hello 👋🏼
Merci beaucoup pour le retour. Ça fait plaisir. 😊
En fait c’est effectivement un HID mais c’est pour ne pas avoir à installer de driver pour utiliser le Yubikey.
Néanmoins ça ne fait pas transiter ton mot de passe ou le secret comme si c’était un clavier qui le tapait.
Tu es parfaitement sécurisé.
L’idéal ça serait de faire le test de ton côté.
Tu verras que ça n’a aucun sens ce qui est envoyé. 😉
bonjour, merci pour les informations, mais une question se pose, ces clés ont des firmwares et sont crées à un instant T, comment savoir pour combien de temps elles sont valables (sans les casser)?, je m'explique, par exemple la clé kensington, verymark, elle est compatible seulement jusqu'à windows 10, sur leur site on ne peut plus télécharger la mise à jour pour windows 11 (je n'ai pas essayé si elle est reconnue par windows 11, mais le logiciel qui l'accompagne ne l'est plus), pour yubico, l'entreprise explique que le firmware ne peut pas être mis à jour pour des questions de sécurité, comment savoir si elle sera toujours reconnue par les sites ou pour combien d'année elle peut être valable ? merci d'avance pour la réponse, bonne journée
Hello Liza,
Merci pour ta question. Tu soulèves des points très intéressants.
La différence avec les exemples que tu donnes est notamment que ces clés utilisent des standards et ne sont donc pas liés à un OS. C'est plutôt est-ce que l'OS va continuer à implémenter ce standard. Mais c'est la même chose que de se demander si Windows 11 va continuer à implémenter le standard http.
Je ne pense pas que le problème va être à ce niveau-là.
Par contre, les clés Yubikey ne peuvent pas mettre à jour leur firmware. Elles peuvent donc ne plus être capable de réaliser les nouvelles fonctionnalités.
J'ai par exemple eu ce problème avec mes Yubikeys.
J'avais des Yubikey 4 et je voulais utiliser les "Resident Keys" qui ne sont dispo qu'à partir des Yubikey 5 (qui ont le firmware 5).
L'impossibilité de mettre à jour le firmware est pour une question de sécurité (ou de volonté de revendre de nouvelles Yubikey).
Par contre, la OnlyKey peut mettre son firmware à jour.
Elle ne devrait donc jamais être obsolète tant que l'éditeur suivra.
En outre, son firmware est open-source. On peut donc même penser que si jamais l'éditeur venait à faire faillite, la communauté pourrait prendre le relais.
Par contre la OnlyKey est beaucoup plus cher (et peut être un peu plus compliqué à utiliser).
Qu'en penses-tu ?
Qu'elle serait ta stratégie d'achat d'une clé de sécurité au regard de mes réponses ?
merci pour ta réponse très rapide et très exhaustive, je comprends, j'ai regardé sur Amazon, le prix est plus cher 69€, s'il faut 2 clés, une de sécurité, ça fait 140 €, je reste indécise, mais en regardant, j'ai découvert la possibilité d'installer un logiciel de double authentification (qui est gratuit, où il y a une partie freemium et qui devrait toujours être mis à jour) par exemple Authy de Twilio, il y en a d'autres aussi, il est vrai qu'avec la clé, on évite de réécrire encore une fois le code (chose qu'il faut faire avec ce logiciel et puis du moment que le logiciel est cassé en deux (une partie sur pc et une partie sur smartphone, ça devrait être sûr, qu'en penses-tu ?
une belle journée
Le logiciel qui te permet de mettre en place un OTP (One Time Password) est une bonne méthode de MFA (Multi Factor Authentication).
Cela résous le même problème. C’est juste que la OnlyKey te simplifie la vie et les possibilités sont beaucoup plus importantes.
Commencer avec une application d’OTP est un très bon choix. Et tu pourras toujours voir pour prendre une OnlyKey ou une Yubikey par la suite si jamais tu vois que tu es limité. 😊
@@remi-cybersec merci
Si tu est dans le bloc note ça écrit le mots de passe en claire donc on ne peux pas la partagée
Yes uniquement pour l’une des possibilités.
Pour les autres, c’est safe
@@remi-cybersec ok d'accord merci
merci
Merci à toi Cédric. 🙏🏼