Spotify fait partie des services qui n’ont jamais cru bon jusqu’à présent d’ajouter des facteurs multiples à l’authentification. Il s’agit pourtant aujourd’hui d’un élément fondamental de sécurité, permettant d’éviter l’usurpation simple d’un compte par le vol des identifiants.
Comme on peut le voir sur Reddit (ici et là), des internautes se voient demander un code à six chiffres envoyé par email en cas de nouvelle connexion. Cependant, bien que la mesure soit appréciable, l’implémentation actuelle est étrange.
Selon les témoignages, la demande du code n’est ainsi pas systématique. En outre, la fonction a été imposée : aucune option n’a été activée, et aucune ne permet de l’enlever. Enfin, et surtout, l’email est la seule méthode fournie pour réaliser l’authentification à deux facteurs. Un constat d’autant plus curieux que cette dernière est proposée depuis longtemps aux artistes, avec plusieurs méthodes possibles, dont les applications TOTP (de type Authenticator).
Nous avons demandé des précisions à Spotify et mettrons à jour cette actualité si l’entreprise nous répond.
Commentaires (21)
#1
#1.1
#1.2
Appartenir à une famille ou non ne change absolument rien à l'usage de ton compte, tu restes totalement maître de tout.
#1.4
#1.3
#1.5
C'est une fonctionnalité qui existe depuis 2 ans environ
#2
Que celui qui est au fond à gauche se dénonce !
#2.1
#3
#3.1
Ca serait le même raisonnement de ne pas mettre de mot de passe sur son téléphone ou ordinateur pour ne pas être bloqué si on l'oublie (alors qu'on est le propriétaire légitime).
Ou encore de ne pas mettre de serrure sur sa porte d'entrée si jamais on perds la clé.
Non, la double authentification est un excellent mécanisme.
Et les gestionnaires de mots de passe qui se respectent les gèrent parfaitement.
#3.2
#3.3
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
Historique des modifications :
Posté le 12/07/2024 à 15h26
Si, dans les bon gestionnaires de mot de passe, tu peux enrgistrer la clé qui sert à générer le TOTP.
Le gestionnaire de mot de passe te génère le TOTP quand tu le souhaites, grâce à la clé et la date actuelle.
#3.4
#3.5
#3.6
#3.7
Le gestionnaire de mdp permet d'en avoir un différent par site donc le deuxième problème est réglé, mais pas le premier. Pour le premier il te faut un code variable : par exemple TOTP. Donc maintenant on peut parler d'un potentiel problème, qui ne concerne clairement pas un utilisateur lambda : je suis qqun sous surveillance, on essai de voler mes accès tout le temps, il me faut une gestionnaire à côté, un coffre pour mes secrets TOTP séparé (sans parler de clé de sécurité etc.).
Donc centraliser les deux, pour un utilisateur « simple » n'est pas un problème et règle ceux qu'il a réellement.
#4
Idem pour "hard" qui devient "hardware"
#4.1
Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11
Historique des modifications :
Posté le 12/07/2024 à 11h54
A première vue il existe une version courte des tags et une version longue, en fonction d'où est affiché le tag.
Si tu vas sur un tag, tu peux voir les deux versions : https://next.ink/category-page/?category=soci%C3%A9t%C3%A9-num%C3%A9rique&id=11
#5
#6
Un hacker fait quoi avec un compte Spotify piraté ? Il écoute de la musique gratuitement jusqu'à ce que l'utilisateur légitime retrouve son compte ? Il détruit toutes les playlists ? Je ne vois pas quel élément crucial mérite le 2FA dans ce cas.
#6.1
Ici, sur Next, même sans 2FA, tu dois te reconnecter plus souvent.
Sinon, l'attaquant peut polluer tes préférences : Hard rock si tu écoutes surtout du classique et réciproquement ou bien du Chantal Goya pour remplacer du Johnny Hallyday.