Hello, pour répondre aux problèmes de sécurité rencontrés hier, je propose la mise en place d’une authentification à double facteur si cela est possible.

Avec cette double authentification, un code supplémentaire sera demandé à chaque fois que nous essayons de nous connecter.
Ce code pourra être reçu par mail ou par SMS.

Ce système protégerait parfaitement nos comptes puisque le mot de passe du compte ne suffirait plus pour permettre l’accès au compte.
Ainsi, tant que le hackeur n’a pas la main sur notre mail et/ou sur notre téléphone (encore plus dur) il ne pourrait pas accéder à notre compte VF.

Bonne soirée

Il faut simplement que les admins ne puissent pas avoir accès à nos comptes via le panel.
Une fois que le hacker est sur le panel, il fait ce qu'il veut avec nos comptes.

Ça n’enpechera jamais d’avoir des petit rigolos qui crée du phishing , puis arrive à activer la double authentification, te voles donc les cookies et arrive à avoir les mots de passes c’est le serpent qui se mord la queue je doute que ce soit la solution

Euh non merci ( avis perso )
Claquer deux mdp pour se connecter ça me soûlerai...

Change ton mdp et c est régler

Je suis contre ca fait perdre en simplicité, si tu dois aller chercher un mail ou un SMS à chaque connexion. À la rigueur pouvoir se connecter sur le panneau d'admin via un mot de passe maiis bon ça va être vraiment redondant.

Pourquoi pas un code pin en double authentification en solution intermédiaire ? Mais ça ne résoudra pas tout.

Ne pas pouvoir accéder aux comptes en tant qu'admin ne changera pas grand chose. Le gros des actions a été faite via le panneau d'administration et il s'agit d'un élément clef pour résoudre des problèmes de triche ou de bug que chacun peut rencontrer.

Eckozz et Galy : oui... mais non.

Ce serait uniquement pour une « nouvelle » connexion. Aujourd’hui quand tu ferme la page ou l’appli et que tu la réouvre le lendemain, tu n’as pas besoin de taper ton mot de passe.

La double authentification c’est uniquement si tu veux te connecter depuis un appareil inconnu (donc nouvelle connexion) ou si tu clique sur « se déconnecter » dans ce cas lorsque tu veux te reconnecter il faudra taper le second code.

Parce que s’il faut taper le second code à chaque fois j’avoue ça me soûlerait bien aussi. Mais c’est pas du tout le but de la double authentification, enfin, pas sur VF

PS Eckozz : je l’ai changé mais ça n’a pas empêché le hackeur de rentrer une seconde fois sur mon compte quelques heures plus tard

En même temps double facteur ou pas si il rentre sur le compte de aymeric il fait ce qu’il veut derrière .

Ah... Bah dans ce cas oui ça me semble tout à fait acceptable.

minadinho : En même temps double facteur ou pas si il rentre sur le compte de aymeric il fait ce qu’il veut derrière .

Oui... Sauf qu’avec la double authentification personne ne rentre sur le compte d’Aymeric à part lui même ^^

Tu pense qu’un bon hackeur il passe pas au dessus de ça ? (Je dit ça sans 2nd degrés j’y connais rien !)

J’y connais pas grand chose non plus mais je vois pas comment un hackeur pourrait intercepter un code envoyé par SMS...

En passant par un autre biais que l'authentification j'imagine..

Totalement pour,
faut pas venir se plaindre si il y a des problèmes derrière.

Apres le soucis selon la personne derrière tu peux avoir 2 voir 3 MDP ... cela ne vas pas changer grand chose hélas
Car si cest vraiment un bon ( pas lomax ) le gars a pas besoin d'authentification pour rentrer sur les comptes ...

Dans l'idée pour mais cest plus haut qu'il faut revoir la sécurité

Chriiis09 : Apres le soucis selon la personne derrière tu peux avoir 2 voir 3 MDP ... cela ne vas pas changer grand chose hélas
Car si cest vraiment un bon ( pas lomax ) le gars a pas besoin d'authentification pour rentrer sur les comptes ...

Dans l'idée pour mais cest plus haut qu'il faut revoir la sécurité

Il ne s’agit pas d’avoir un second MDP.
Le code reçu par SMS est un code à 6 chiffres qui est différent à chaque fois.
Du coup, à part tenter 1 million de combinaisons, personne ne peut accéder à ton compte tant qu’ils n’ont pas la main sur ton téléphone ou ton adresse mail...

Ça permet aussi d’alerter : si tu reçois un code par SMS ou par mail alors que tu n’es pas à l’origine de la tentative de connexion, c’est que quelqu’un connaît ton mdp et a essayé de se connecter sur ton compte

minadinho : En même temps double facteur ou pas si il rentre sur le compte de aymeric il fait ce qu’il veut derrière .

Ce n'est pas vraiment le cas ici a priori.

Tu as 10 seconde pour rentrer le code après il change.
J’utilise ce procéder de clefs 2FA pour mes comptes crypto.

Totalement pour.

Le plus important c’est que les admins et Aymeric le fasse car c est de ces comptes qu’il(ils) foutent la merde.
Si il arrive à rentrer sur mon compte il bousillera que le mien plus facile à repérer les dégâts que si il continue de rentrer par les comptes d un admin ou A45

c'est clair que c'est une solution relou pour tout le monde mais si c'est simple a mettre en oeuvre ca peut permettre d'éviter certains ennuis, au moins de facon temporaire si on a mieux par la suite.