Bonjour, Le 05/01/2024 à 12:04, Stephane Bortzmeyer a écrit :
On Thu, Jan 04, 2024 at 09:39:15AM +0100, David Ponzone <david.ponz...@gmail.com> wrote a message of 21 lines which said:Allez, activation du MFA partout sur RIPE (et les autres RIRs), histoire que au moins on remette le besoin d'un acces a un device physique (router ou token) pour continuer a casser notre bel outil.Pas forcément, si tu caches mal ton emergency code :)Ou si on se laisse prendre à de l'ingéniérie sociale. Le MFA est évidemment impératif pour les comptes au RIPE mais ce n'est pas une solution miracle. La leçon que j'en tirerai est plutôt « toute technique de sécurité peut être détournée pour créer une attaque par déni de service ».
En 2024, on a largement les moyens de gérer de l'identité numérique bien au-delà de la stricte frontière du service externalisé.
Il suffirait que ce service centralisé autorise une identité décentralisée.Cela ne coûte pas très cher, et met en lumière un fait qui devrait frapper comme une évidence : le service externalisé, quel qu'il soit, OIV ou pas, n'a pas à s'engager sur le contrôle de l'identité de gens qu'il ne connaît pas...
MFA si tu veux, mais pour une identité gérée en interne et diffusée partout. Là tu commences à obtenir des garanties te mettant à l'abri des saloperies interstitielles.
(Et Bonne-Mère, la gestion de l'identité n'est *pas* une "technique de sécurité" prétendument isolée du reste de la gestion du système d'information. C'est un composant du système d'information, géré comme tout le reste. La sécurité n'est ni une fonctionnalité ni un gagne-pain, c'est le critère qui discrimine les imbéciles.)
Bien cordialement, -- Maxime DERCHE OpenPGP public key ID : 0xAE5264B5 OpenPGP public key fingerprint : 7221 4C4F D57C 456F 8E40 3257 47F7 29A6 AE52 64B5 <https://www.mouet-mouet.net/maxime/blog/>
OpenPGP_signature.asc
Description: OpenPGP digital signature