66 liens privés
You may create app passwords in the following way:
1) Sign-in to the Google Account : https://myaccount.google.com/
2) Switch to Security.
3) Select 2-step verification under "Signing in to Google".
4) Find and select App passwords at the bottom of the page.
5) Type a name to help with identification of the password.
6) Select generate.
7) Follow the instructions.
8) Select Done.
You may now use the app passwords in third-party apps for authentication and linking of the Google account.
Dans son guide de conduite pour l’authentification en ligne, l’agence fédérale préconise donc l’envoi des fameux codes au sein d’une application sécurisée, comme le fait déjà Google avec son outil Authenticator : pour se connecter à son compte, il faut non seulement saisir son mot de passe habituel mais également le code temporaire généré directement dans l’application.
Un script GreasMonkey pour s'authentifier plus facilement sur le site de Free Mobile.
Démonstration d’une attaque par login social Oh wah... Voici une petite attaque qui utilise les protocoles d'authentification de Google / Facebook / Twitter / Linkedin et j'en passe. En effet, quand vous souhaitez vous inscrire sur un site web, vous pouvez soit vous créer un compte de zéro, soit vous identifier avec votre login Facebook ou Twitter ou j'en passe. Seulement, voilà, avec certains sites mal conçus, un hacker peut tout simplement accéder à votre compte sans avoir besoin de grandes compétences techniques. Voici ce qu'ont découvert les chercheurs de l'équipe d'IBM X-Force. D'un côté, il y a vous... Vous avez, par exemple, un compte sur Slashdot (comme dans la démo ci-dessous) ou un autre site et vous êtes bien inscrit avec votre email toto@gmail.com. De l'autre côté, il y a l'affreux script kiddy qui se rend sur Linkedin, site sur lequel vous n'êtes pas inscrit. Il se crée alors un compte avec VOTRE adresse email (toto@gmail.com). Linkedin vous envoie un email de confirmation, mais même si l'email n'est pas vérifié, le hacker est bien authentifié sous Linkedin. L'attaquant peut alors se rendre sur Slashdot, et demander à se logger avec le compte Linkedin qu'il a créé avec votre email. Et paf, il accède à votre compte sans avoir besoin de quoi que ce soit. Le problème vient en réalité de Linkedin qui autorisé l'accès à un compte non vérifié, donc un usurpateur d'identité. Ce genre de système d'authentification devrait obligatoirement refuser les adresses email non vérifiées.