OVH Community, votre nouvel espace communautaire.

Authentification multifacteurs sur le manager (OATH HOTP ou TOTP)


sl956
11/09/2014, 21h55
Client dédié depuis plus d'une douzaine d'années, je songeais à finalement basculer mes domaines (une cinquantaine) de GANDI vers OVH.

Une seule chose me retient : l'indisponibilité chez OVH d'un réel système d'authentification multi-facteurs sur le manager.

Tous les services dont je dépends de manière critique (Gmail, Dropbox, ma banque, GANDI, Paypal, mon exchange bitcoin, etc.) me proposent maintenant ce service, plus certains moins critiques pour moi (Office 365, Facebook, Twitter, Blizzard,etc.), en gros tout le monde... sauf OVH !

Ci-après un état des lieux qui montrent bien que tout le monde s'y est (enfin) mis : https://twofactorauth.org/

Le marché ayant eu la bonne idée de se concentrer sur un standard ouvert (OATH HOTP - RFC 4226 et TOTP - RFC 6238) qui plus est très facile à implémenter (je parie qu'il y a moins d'une journée de boulot pour l'ajouter au manager, la partie client pouvant être assurée par Google Authenticator), je n'arrive vraiment pas à trouver de raisons pour refuser si longtemps (depuis 2005 !) d'ajouter cette fonctionnalité.

Serait-il possible d'avoir un retour officiel d'Octave sur la position d'OVH quant à HOTP/TOPTP ?

Est ce :
* c'est plus compliqué que vous ne le pensez pour telles et telles raisons ? (l'ayant moi-même mis en place sur certains de mes services bien des fois depuis 2005, j'ai comme un gros doute)
* on a choisi de déployer une autre techno en interne, et ce serait une trop grande remise en question de cette décision de proposer [H|T]OTP à nos clients ?
ou plus simplement :
* la sécurité de nos clients n'est pas notre priorité ?

C'est situation est d'autant plus frustrante qu'un français est à l'origine de ces standards maintenant universellement adoptés (David Naccache de Gemplus/ENS).

PS: non, la validation des connexions par SMS (proposée dans le manager v3 mais absente du nouvel espace client) n'est pas une solution satisfaisante (je suis souvent à l'étranger, la réception des SMS en roaming est pour le moins aléatoire), et le "machin" proposé dans le manager V3 sous le nom de "OTP statique" (également absent du nouvel espace client) est franchement tellement peu pratique que j'ai cru à un poisson d'avril la première fois que je l'ai vu.