Spotify fait partie des services qui n’ont jamais cru bon jusqu’à présent d’ajouter des facteurs multiples à l’authentification. Il s’agit pourtant aujourd’hui d’un élément fondamental de sécurité, permettant d’éviter l’usurpation simple d’un compte par le vol des identifiants.
Comme on peut le voir sur Reddit (ici et là), des internautes se voient demander un code à six chiffres envoyé par email en cas de nouvelle connexion. Cependant, bien que la mesure soit appréciable, l’implémentation actuelle est étrange.
Selon les témoignages, la demande du code n’est ainsi pas systématique. En outre, la fonction a été imposée : aucune option n’a été activée, et aucune ne permet de l’enlever. Enfin, et surtout, l’email est la seule méthode fournie pour réaliser l’authentification à deux facteurs. Un constat d’autant plus curieux que cette dernière est proposée depuis longtemps aux artistes, avec plusieurs méthodes possibles, dont les applications TOTP (de type Authenticator).
Nous avons demandé des précisions à Spotify et mettrons à jour cette actualité si l’entreprise nous répond.
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 12/07/2024 à 09h36
Le 12/07/2024 à 12h10
Le 12/07/2024 à 12h21
Appartenir à une famille ou non ne change absolument rien à l'usage de ton compte, tu restes totalement maître de tout.
Le 12/07/2024 à 13h41
Le 12/07/2024 à 12h54
Le 12/07/2024 à 19h25
C'est une fonctionnalité qui existe depuis 2 ans environ
Le 12/07/2024 à 09h38
Que celui qui est au fond à gauche se dénonce !
Le 12/07/2024 à 11h52
Le 12/07/2024 à 10h13
Le 12/07/2024 à 10h45
Ca serait le même raisonnement de ne pas mettre de mot de passe sur son téléphone ou ordinateur pour ne pas être bloqué si on l'oublie (alors qu'on est le propriétaire légitime).
Ou encore de ne pas mettre de serrure sur sa porte d'entrée si jamais on perds la clé.
Non, la double authentification est un excellent mécanisme.
Et les gestionnaires de mots de passe qui se respectent les gèrent parfaitement.
Le 12/07/2024 à 13h58
Modifié le 12/07/2024 à 15h26
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
Le 12/07/2024 à 16h05
Le 12/07/2024 à 16h32
Le 12/07/2024 à 18h55
Le 15/07/2024 à 11h32
Le gestionnaire de mdp permet d'en avoir un différent par site donc le deuxième problème est réglé, mais pas le premier. Pour le premier il te faut un code variable : par exemple TOTP. Donc maintenant on peut parler d'un potentiel problème, qui ne concerne clairement pas un utilisateur lambda : je suis qqun sous surveillance, on essai de voler mes accès tout le temps, il me faut une gestionnaire à côté, un coffre pour mes secrets TOTP séparé (sans parler de clé de sécurité etc.).
Donc centraliser les deux, pour un utilisateur « simple » n'est pas un problème et règle ceux qu'il a réellement.
Le 12/07/2024 à 10h42
Idem pour "hard" qui devient "hardware"
Modifié le 12/07/2024 à 11h54
Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11
Le 14/07/2024 à 23h16
Le 15/07/2024 à 14h24
Un hacker fait quoi avec un compte Spotify piraté ? Il écoute de la musique gratuitement jusqu'à ce que l'utilisateur légitime retrouve son compte ? Il détruit toutes les playlists ? Je ne vois pas quel élément crucial mérite le 2FA dans ce cas.
Le 15/07/2024 à 15h07
Ici, sur Next, même sans 2FA, tu dois te reconnecter plus souvent.
Sinon, l'attaquant peut polluer tes préférences : Hard rock si tu écoutes surtout du classique et réciproquement ou bien du Chantal Goya pour remplacer du Johnny Hallyday.