[Tuto] [en relecture] E-mail + 2FA + Coffre-Fort
-
Bonjour,
En cours de relecture
Je vais vous présenter comment je stock de façon sécurisé mes wallets, rien n’est infaillible mais il y a un faussé entre un mot de passe 123 et un 2FA.
La 1ère étape est de commencer à avoir un ordinateur sain : https://www.malekal.com/tutoriel-desinfection-et-suppression-virus/
Voici le menu qui nous attend :
- Installer une application 2FA
- Créer un E-mail sécurisé
- Créer un coffre fort
Application 2FA
Une application 2FA ( Two-Factor Authentification) permet de générer un code à saisir pour protéger un compte en plus de l’identifiant avec mot de passe.
Si vos identifiants venaient à être volés, le pirate ne pourrait quand même pas s’y connecter.Il existe plusieurs application:
-
“L’officiel” de google, qui est,… nulle… : https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
-
Authentificator Plus : pour ma part elle est parfaite (payante 3€), elle permet de sauvegarder une copie sur le cloud (en cas de perte/casse du tél) mais aussi de se synchroniser avec d’autre appareil : https://play.google.com/store/apps/details?id=com.mufri.authenticatorplus
-
Authy 2-Factor Authentication : quasi-identique mais gratuite : https://play.google.com/store/apps/details?id=com.authy.authy
installer sur vos appareils et vous pouvez déjà les configurer tels qu’un code PIN pour y accéder ou votre compte cloud (google drive, one drive) pour la synchronisation.
E-mail
L’e-mail est très importante, si elle venait à être compromise, il suffirait au pirate d’utiliser la fonction mot de passe oublié pour accéder à tous vos comptes.
Je vous propose soit d’utiliser Gmail soit mieux ProtonMail (la version gratuite est largement suffisante).
Vous allez créer un mot de passe sécurisé, si ce n’est pas déjà fait, sinon changez le avec au moins 20 caractères : https://lastpass.com/generate
Enregistrez le sur un fichier texte pour le moment, vous n’aurez pas à le mémoriserVous devez ensuite activer le 2FA sur votre E-mail :
- Pour Gmail
- Pour ProtonMail
Voilà, vous avez votre/vos messageries sécurisées.
Coffre-Fort
Le coffre-fort va vous permettre de sauvegarder vos identifiants, notes etc… dans un fichier crypté (et le mot de passe ne sera pas stocké en ligne, limitant grandement le piratage)
Nous allons utiliser pour cela Lastpass (Lien direct) - (Lien parrainage merci)
LastPass est une extension du navigateur, elle est donc compatible tous OS (Linux - Mac - Windows) mais aussi smartphone/tablette.
Vous devez créer et mémoriser uniquement le mot de passe Lastpass, il s’occupera de sauvegarder tous les autres.
Voici une idée pour un mot de passe :
Je suis Aranud du forum CryptoFR depuis 2017.
J/s/A/d/f/CFR/d/2017/.Une fois cela fait, on file dans les options :
Ouvrir mon coffre fort -> Paramètre du compte -> Options d’authentification multifacteur -> Google AuthenticatorUne fois activé, vous irez sur votre messagerie vous connecter, et il vous proposera d’enregistrer vos identifiants .
Il vous restera plus qu’à changer vos mots de passe au fur et à mesure sur tous vos sites ainsi qu’activer le 2FA s’ils le proposent.
J’espère que ce tutoriel vous sera utile, si vous avez des questions/remarques n’hésitez pas.
-
@aranud - Yep, très utile, et on oublie souvent qu’on est à un keylogger près de dire au revoir à tout…
Je rajouterais juste un VPN, qui est un minimum à avoir de toutes façons, et une couche de sécurité encore, en compressant et cryptant avec MdP un fichier ZIP contenant une sauvegarde des MdP, seeds, etc… envoyé sur le mail, au cas où.
-
@aranud je ne suis pas d’accord pour l’authenticator de google, il fait le taf pour moi. Il faut copier à la main la clé de recovery et donc être soigneux et vérifier à deux fois, c’est indispensable en cas de perte ou casse du téléphone. Et je ne suis pas favorable à la duplication sur le cloud.
-
@aranud Peut-on savoir pourquoi l’Authenticator de Google est “nulle” ?
-
@pouetpouet aucun sauvegarde si ton tél plante ou perdu
-
@aranud https://support.google.com/accounts/troubleshooter/4430955?hl=fr#ts=4430956
Google étant à peu près partout (#BigBrother), il aurait été étonnant qu’il n’y ait aucune possibilité de reconfigurer Google Authenticator sur un nouveau téléphone… -
@pouetpouet non, ça ça concerne “pour recevoir les codes de validation en deux étapes pour votre compte Google”.
Le code d’identification pour google authenticator est une clé qui apparaît sur la même page que le QR-code généré pour initialiser le générateur, comme je l’ai dit il faut la noter de préférence à la main (donc la vérifier soigneusement, avoir une écriture sans ambiguïté etc.) et la stocker dans un endroit sûr (et pas en ligne ou dans le cloud)
-
@pouetpouet @Nammalvar
Volà sauf que si comme moi tu as (et j’ai compté) 19 2FA, un tel et une tablette…Ben là, synchro et le backup auto sont très utile… sachant qu’une gmail si tu perds le 2FA tu peux recevoir en SMS et donc te connecter à ton drive pour récupérer la backup dans le pie des cas.
-
@nammalvar @aranud
Au temps pour moi. J’étais persuadé que ça de réinstaller Google Authenticator sur un autre appareil permettait de récupérer les différents sites enregistrés.
Ça m’apprendra à vérifier ce que j’avance -
Solution de patachon : flasher le QR sur 2 appareils, en prenant pour acquis [fallatieux] qu’ils ne seront pas perdus en même temps…
-
Ou acheter un wallet hardware.
-
-
Pour ceux qui veulent sauvegarder le code 2FA Google ou qui ne les ont pas noté, j’ai fait un petit tuto :
https://cryptofr.com/topic/7571/tuto-sauvegarder-ses-codes-google-authenticator -
@impassenet - C’est pour les vérifications 2FA pour les plateformes pas les wallets ^^
-
@nakhom a dit dans [Tuto] [en relecture] E-mail + 2FA + Coffre-Fort :
@impassenet - C’est pour les vérifications 2FA pour les plateformes pas les wallets ^^
Oui et mon wallet hardware me sert aussi pour 2FA
Mais le tuto est cool !!! -
@impassenet - Gné ?
-
@nakhom a dit dans [Tuto] [en relecture] E-mail + 2FA + Coffre-Fort :
@impassenet - Gné ?
Y’as une application 2FA intégrée en plus des wallets. -
Et si vous mourrez, vos héritiers sauront-ils récupérer vos billes ?
Il y a un juste milieu entre suffisamment compliqué et suffisamment simple pour que quelqu’un d’autre puisse récupérer votre argent virtuel, quand vous serez mort ou débile par accident. -
@aranud Bonjour, je ne suis pas du tout d’accord avec ce que tu proposes pour les 2FA et le “coffre fort”!
Pour les 2FA : google auth est ce qu’il y a de mieux pour téléphone portable car la seed est impossible à récupérer sans l’accès root au téléphone. Il faut donc bien prendre soins de faire la sauvegarde (sur papier) à chaque fois que l’on en rajoute un à l’application. En aucun cas ne faire confiance à un tiers pour “protéger” vos données quelque part dans le cloud. Les actualités de fuites massives de données font trop souvent la une.
Pour l’application coffre fort : pas de code open source, comment pouvez vous vérifier que c’est sécurisé (une application google chrome … lol …)? Bref, passez votre chemin : https://opensource.com/article/16/12/password-managers
-
@tulsene a dit dans [Tuto] [en relecture] E-mail + 2FA + Coffre-Fort :
@arnaud :
« “L’officiel” de google, qui est,… nulle… », mais pourquoi ?En aucun cas ne faire confiance à un tiers pour “protéger” vos données.
Je plussoie Lulsene et généralise. Ce dernier indique « quelque part dans les nuages », mais pas seulement : partout.
D’autre part gmail et protonmail sont les meilleures messageries, uniquement jusqu’à ce qu’elles se fassent hackées ou qu’elles disparaissent simplement.