Reprise du message précédent :

 
Alors ca dépend des boites, pour la mienne, pour pouvoir avoir certains accès depuis ton téléphone perso, tu dois accepter d'installer une application qui donne en quelque sort les droits admin au S.I. de ta boite, Microsoft Intune ça s'appelle. Ce principe m'a un peu plus dérangé, et j'ai d'ailleurs refusé. Tant mieux, ça a donné du crédit sur le droit à la déconnexion

Perso je vais voir les RH et le mec se prend un blame...

Chez nous le MFA est obligatoire. Donc sur le mobile pro pour ceux qui en ont un et le perso pour ceux qui en ont pas.

Si le téléphone est trop vieux pour l'authenticator alors on en fournit un. (très très rare). Sinon ils peuvent refuser mais du coup pas de télétravail possible.

Compliqué de fournir des téléphones pour tout le monde... Sinon on a la change d'avoir des utilisateurs pas trop chiant. Personne n'a fait de problème...

 
Pour utiliser les applis boulot sur le tél il faut avoir en effet un téléphone de la boite et en plus qu’il soit sécurisé.  
Pour cela, point de biométrie ou autres. Il faut un code pin à 8 chiffres dans mes souvenirs à changer tout les 60 jours.
Ensuite bien sûr, il faut s’identifier sur chaque applis.
 
J’ai gardé les emails de la boite sur le téléphone d’astreinte 2 mois avant de faire un reset usine et m’en servir uniquement comme.... téléphone.

 
On est oligé d’utiliser le VPN sur site maintenant aussi. Pourquoi ? Bah je sais pas. Ils doivent considérer que nos bureaux avec 2 badges différents ne sont pas sécurisés non plus.

 
Yep pareil , il fallait enrôler mon tél perso dans intune, bien évidemment hors de question  
 
Donc on m'en a fourni un

Sinon en 2024 vous voulez pas fournir des clés FIDO2?

On est pas des chiens
 
/Patapay

Ici c'est nouveau aussi le MFA, donc pour ceux qui refusent on va fournir un token une sorte de clé qui donne le code en temps réel...

Ca se fait plus. Les IT et les gens veulent plus s'embetter avec des clés USB qui se perdent, gérer le stock, qu'il faut envoyer à droite à gauche quand tu as des employés ou partenaires partout sur la planête, qui demande un accès physique à la machine, et sans doute d'autres raisons que je ne connais pas.

Heu
- Je te garantis que ça se fait beaucoup, à peu près toutes les boîtes dans la tech, telco, hébergement... n'utilisent que ça.
- Dans un contexte un peu moins exposé ça te permet d'avoir une clé physique comme backup et laisser les employés utiliser leur smartphone perso au jour le jour, y a rien à installer sur le smartphone et l'employé n'a pas à se soucier de MDM ou autre, donc c'est très pratique.
- ... voire la clé du TPM de leur laptop en fait, encore plus simple.
- Je vois pas en quoi gérer des téléphones pros est plus facile côté logistique et inventaire, et ça coûte 10x plus cher sans compter l'abonnement.

VPN sur site  

Le téléphone tout le monde en a un… (pro ou perso). les clés faudrait gérer ça en plus… mais oui il me semble que ces dongle reste la solution la plus sécurise.
 
J’en ai installé récemment pour l’accès aux banques.

Preuve que tout le monde n'en a pas un car les utilisateurs de mbl veulent que la boîte leur fournisse.
 
Donc quitte à mettre en place une nouvelle solution, le FIDO2 / U2F fonctionne vraiment bien aujourd'hui:
- Tu dis aux utilisateurs qu'ils ont le choix d'utiliser la clé de leur bidule favori: téléphone, laptop, pro, perso, peu importe, t'as globalement les mêmes garanties vu que c'est implémenté très bas niveau par l'OS et le TPM.
- Une clé physique à 30 balles pour ceux qui veulent pas, et les postes où les contraintes de sécurité le justifient.

Oui j'exagérais, mais toutes les boites que je fais ne font que virer les dongles USB. Comment tu fais sur le cloud pour brancher ta clé USB   Mais c'est pas remplacer par les téléphones, c'est remplacé par du soft.

 
C'est pas nous qui décidons de la politique IT de notre groupe mais j'ai cru entendre que ca allait arriver bientôt.
 
Par ailleurs, j'en ai acheté une perso, j'ai voulu prendre la google titan en me disant naïvement que comme c est google, c est bien. Ben j'aurais pas du Apparemment les yubikey sont mieux, et avec notre politique IT de toutes façons il faudra des clés FIPS , et avec PIV apparemment.

 
oui. On a eu la même réaction au taf.

Ya besoin d'un abo pour du mfa ?
Je peux générer la clé en mode avion.

Je croyais que c'était ici que ça en avait déjà parlé d'ailleurs.

Et sinon j'allais dire que vous pouviez aussi installer le mfa sur le pc de l'user avec authy mais je vois qu'ils ont arrêté cette version.
Il doit exister des alternatives.

Je vois plus trop l'intérêt du TOTP, dans une cogip du moins.

 
oui mais si tu l'oublies c'est ton perso on ne peut pas te le reprocher.  
Jamais utiliser du matos perso pour du pro.  

 
Idem chez nous, sécurité supplémentaire, mais si t'es sur le réseau local du site, il se connecte automatiquement, pas besoin de s'identifier (une fois sa session ouverte).

Ta boîte te paie aussi tes vêtements et ta voiture pour aller bosser ?  

Avant d'être cité par d'autres sur le topic... Je dois envoyer un mail a 2000 personnes d'ici peu.
 
Des préconisations pour éviter les soucis?

"Si vous avez des questions, faites attention à bien utiliser le bouton Répondre à tous.
Cordialement bisous"

Une clé USB Yubico, ça marche bien aussi.
A+,

 
Ta boite ne te force pas à venir en voiture, et si elle demande un dress code particulier obligatoire, oui elle est censée fournir lesdits vetements ou les rembourser.
 
Là c'est pareil, si la boite te demande d'installer une applicaiton sur un téléphone pour le MFA, alors elle doit fournir ledit téléphone.
 
C'est même pas un débat en fait, c'est dans la loi. L'employeur doit fournir tous les outils de travail qu'il te demande d'utiliser.

 
- Oui, mais BYOD !

Merci.

Et si ça pouvait être le point final du HS chiant, ça serait parfait. C'est pas le topic sécu cogip ici.

 
La sainte parole    
 
Je pense qu'on peut s'arrêter là

L'histoire du mfa sur mobile, on peut aussi utiliser un gestionnaire de mot de passe qui génère un otp sur le pc (keepassxc). J'oublie souvent mon smartphone et ça résous mon souci.

 
Ouais enfin le concept du MFA c'est d'avoir plusieurs device pour éviter les compromissions.
 
Si on met tout au même endroit, bah si l'endroit se fait avoir, toute la sécurité saute.
 
A ce compte là, on peut aussi ajouter une extension dans Chrome pour l'OTP. Certains collègues dans mon ancienne boite avait fait ça pour plus s'emmerder. Les sites internes demandaient mot de passe (enregistré dans chrome) + OTP (extension chrome). Bah c'est sur que niveau sécurité, c'était exceptionnel. Tu couples ça avec un neuneu qui lock pas son PC, tu as accès à tout

Si tu le mets sur ton smartphone tu as tout mis au même endroit aussi.
Le mfa c'est des sources différentes d'authentification en général une connu par la personne le mot de passe et une qui identifie un device. Un generateur de clé sur le pc de l'user ça te premunie déjà de tout ceux qui voudront entrer sans avoir accès à sa machine physique, c'est pas parfait mais ça reste un gigantesque bond en avant par rapport à ne pas le faire.

J'ajoute que le mfa se déclenche pas à chaque action non plus, celui qui s'authentifie avec son smartphone puis se barre en laissant tout ouvert on est dans le même cas que la faille que tu décris.

keepass, ce n'est pas un navigateur.  Mon PC est volé, faut passer par le mot de passe. Il a le mot de passe, il doit rentrer une passphrase nettement plus longue qu'un code de smartphone (si pas d'empreinte).
Oui y'a la concentration, bien sur, mais concrètement ça fragilise quoi?

 
Tu te prends un malware sur ton PC, tout est au même endroit : le password (enregistré dans keepass) et le code OTP (aussi enregistré dans keepass).
 
Alors que si tu as un vrai cloisonnement : keepass sur le pc contient le password et un autre device (par exemple smartphone) détient le code OTP, il faut se faire trouer des 2 cotés.
 
Après je ne te jette pas la pierre hein.
Moi j'ai tout dans keepass (sur le PC ET sur le smartphone, les keepass sont synchronisés). Donc si un des deux device se fait trouer, c'est mort.

Mon keepass n'a pas mon mot de passe, il change tous les 6 mois, je ne m'embête pas ^^
Édit: qwazer, c'est pas faux

Je recentre avec un client que mon collègue vient de voir, qui fait une defrag tous les jours. Mon collègue lui a dit d'arrêter. Du coup il a demandé si une par semaine c'était mieux...

Ça dépend, il est sous Windows 95 ou 98 ?

Le SSD est SATA ou nvme ?

Nvme je crois