Double authentification

La double authentification (devoir fournir un code en plus de l’identifiant et du mot de passe) est une bonne chose, le code envoyé par mail ou SMS beaucoup moins : guère sécurisé et peu pratique.

Je suggère donc deux alternatives, non exclusives :

  • le code à 6 chiffres TOTP, un standard implémenté par de nombreux gestionnaires de mots de passe et par d’autres applications ;
  • les clés de passe, qui sont maintenant prises en charge par de nombreux gestionnaires de mots de passe, et utilisables par exemple pour se connecter à Google, Github, et d’autres sites. Voir par exemple cet article.
2 « J'aime »

Bonsoir @Olier
Nous partageons complètement votre point de vue.
La double authentification actuelle a été mise en place provisoirement en système d’urgence en lien avec les nombreuses fuites de données de cet été et de la rentrée (free etc…).
Nous travaillons actuellement sur un système bien plus complet qui sera déployé très prochainement.
Bonne soirée
Joseph

4 « J'aime »

Bonsoir, pour moi, cette double authentication est une cata sur smartphone (Android 15). Il m’est tout simplement impossible de me loguer. Pour récupérer mon code, je dois passer le navigateur en arriere plan pour ouvrir mon appli de mail et lorsque je reviens sur le navigateur (Duckduckgo, Chrome ou le navigateur de LineageOS), ce dernier ne reste pas sur la page où l’on rentre le code mais recharge la page de login (identifiant/mot de passe) …:woozy_face:. NB: Ce souci n’existait pas sur mon précédent sous Android 12. Je n’ai pas non plus de souci sur d’autres sites avec double authentification (Enerfip, mutuelle…)

Bonjour Fury0,

Merci pour votre signalement concernant les difficultés avec l’authentification à deux facteurs sur notre site web lorsque vous utilisez Android 15.

Nous tenons à vous informer que l’utilisation de ROM personnalisées comme LineageOS n’est pas officiellement testée avec notre site, ce qui peut expliquer les difficultés rencontrées. Le comportement que vous décrivez semble lié à la gestion de la mémoire par LineageOS, car sur d’autres systèmes Android nous n’avons pas pu reproduire ce problème et nous ne forçons pas le rechargement de la page que vous décrivez.

Pour contourner ce problème, vous pourriez essayer d’utiliser la fonctionnalité de « split screen » (écran partagé) de votre appareil, qui vous permettrait de voir simultanément notre site web et votre application de messagerie sans que la page ne se recharge.

Sachez que nous travaillons actuellement sur une amélioration du processus de connexion pour ajouter d’autres options de connexion (OPT, passkey…), pour résoudre ce type de problème.

Si le problème persiste, nous serons preneurs d’informations complémentaires (email et dates des tentatives), via le chat de support par exemple (par souci de confidentialité, ne mettez pas ces informations ici).

Bien à vous,

Thomas, de l’équipe technique

2 « J'aime »

Bonsoir Thom.n (et à toute l’équipe technique !).
Finalement j’ai pu résoudre mon problème.
J’avais un réglage (dans les options développeur) « Ne pas conserver les activités » qui vidait probablement le cache du navigateur passé en arrière plan (mais pas les cookies). En enlevant cette option, plus de souci. Avec la double authentification de Enerfip (F2A), je n’ai jamais eu ce problème. Pourtant il me faut également , mettre le navigateur en arrière plan, ouvrir l’appli FreeOTP pour récupérer mon code et revenir au navigateur, qui dans le cas de Enerfip ne revient pas au formulaire de login mais reste sur la page d’entrée du code OTP.
En tous cas, sympa de votre part de vous êtes soucié du problème. D’autant qu’on est pas (encore) la majorité à déGoogliser nos smartphones :wink:.
PS: Il semblerait que la double authentification par OTP est quand même beaucoup mieux (et plus sécurisée) que par mail (surtout quand ce dernier n’est pas crypté)

Très bonne nouvelle dans ce cas, merci pour ce retour qui nous aidera si d’autres utilisateurs rencontrent les mêmes difficultés.

Concernant la mise en place d’un OTP, cela fait partie d’un chantier en cours plus global de sécurisation et simplification des accès utilisateurs. Je n’ai cependant pas de date précise à vous communiquer, l’objectif étant de sortir ces fonctionnalités dans le courant du deuxième trimestre.