Chaque chose a un prix.
Oui, ça augmenterait encore le niveau de sécurité, mais ça donnerai encore un peu plus d'infos sur les habitudes des utilisateurs du forum aux boites qui fournissent la solution de 2FA.

Et puis, comme Halab le souligne, ce n'était absolument pas prévu avec cette mouture de forum donc il faut l'implémenter de manière safe, et c'est super critique.  

Ceci étant dit, je pense qu'intégrer les solutions de 2FA qui ont été crées par les hardwares wallets (U2F) serait peut être une bonne chose ?
Pas forcément besoin de Google Authenticator ou autres applies des GAFAM  

@yogg, pas compatible avec le forum mais avec mes adresses mail, qui représentent évidemment une grosse partie de la sécurité du compte.

Adresse compromise = compte compromis. Sans parler des échanges.

Comment les boites qui fournissent cette solution 2fa peuvent elles récolter des infos concernant des habitudes de connexion ? Si ce n'est la fréquence, heures etc je ne vois pas.


Après le 2fa reste une option, activable ou non sur la plupart des sites le proposant.


Là oui, effectivement ça pourrait engendrer la création d'un pool de 'support technique' dédié à ces problèmes, la galère quoi.

@Saint-Loup,

Docker c'est une solution de container.

L'idée c'est que quel que soit on os/ton hw, tu peux installer docker et lancer une image docker, qui va permettre d'utiliser le service clé en main.

Ca facilite grandement l'administration de certains services, vu que tu n'as pas du tout à te soucier de dépendances, ou d'installations compliquées.

La fonction s'adresse donc aux personnes voulant déployer un forum epochtalk, et non à l'utilisateur final.

Arf mon clavier cerveau a fourché...

C'est possible que la vérification soit en fait déléguée à Google mais en connaissant l'algo il doit y avoir moyen de s'en passer amha.
Comme tu dis le code pin généré est visiblement simplement le resultat d'une opération entre le timestamp et la clé privée.
Le serveur pourrait donc théoriquement la réaliser de son côté puis la comparer avec le code fourni, si il connait l'algo, puisqu'il connaît cette clé privée.
Moi en fait ça me fait un peu penser aux dice games "provably fair".
Gràce à quelques opérations ils te sortent un nombre à 4 chiffres à partir des seeds client et serveur et d'un nonce.

Oui. C'est ma compréhension.
Désolé je ne savais pas que tu étais familier avec la technologie docker
De plus en plus d'applications sont dockerisées. C'est vachement puissant si tu as plusieurs applis avec différentes dépendances (parfois en conflit) qui doivent s'exécuter sur un même serveur/container.

---

Deux jours que ma titan est expédiée et n'a pas bougé de toronto . Je veuxxxxx

En Meta un utilisateur rapporte comment il a failli se faire hacker son compte :

Le hacker a utilisé la technique des fake links par attaque homographique dont parle F2b dans l'OP.

En utilisant un compte préalablement hacké (ou acheté), il a envoyé un MP à la victime en lui disant qu'il lui avait répondu sur le thread en lien.



alors qu'il s'agissait en fait d'un lien caché, avec un "r" en alphabet cyrillique(".oгg" sic) pour shunter la protection automatique du forum.

[url=http://XXXXX.com.tr/]https://bitcointalk.oгg/index.php?topic=5154525.0#msg51488782[/url]

Ce lien l'a alors amené à une fausse de page de login oú il était indiqué que sa session venait d'expirer et l'invitait à saisir son login...



https://bt.irlbtc.com/view/5173531

Non je parlais de la protection qui contre automatiquement ce type d'attaque.

Par exemple: [url=https://yahoo.fr]https://bt.irlbtc.com/view/5154525.0#msg51488782[/url] va afficher
https://yahoo.fr
et non https://bt.irlbtc.com/view/5154525.0#msg51488782 comme ça le ferait normalement.
L'attaque homographique permet de court-circuiter cette protection là.

Je le souligne ici pour ceux qui ne l'auraient pas encore remarqué, on sait jamais : Chrome propose maintenant automatiquement ses mots de passe générés lorsqu'on veut changer son mot de passe bitcointalk. Bien sûr il l'enregistre (vérifier bien que ça soit le cas avant de déconnecter quand même) puisqu'ils sont quasi impossible à se rappeler(grosse entropie).
On peut aussi carrément mettre une adresse bitcoin et l'enregistrer, puisque les mdp de Chrome ne sont pas moins inintelligibles que ça...  

Sinon n'oubliez pas, y'a toujours la méthode XKCD :