bonjour
la double authentification par SMS , quelques questions /réponses :
1/ c'est pour sécuriser quoi ?
c'est uniquement pour protéger la connexion à votre compte sur le site principal
http://www.zaclys.com
2/ et si on perd son mobile ?
- il faudra dans ce cas faire une demande par le formulaire de contact pour demander la désactivation de l'option , zaclys enverra un sms de contrôle au mobile concerné + un mail au mail de contact par sécurité, sans réponse négative sous 1 délai qui reste à définir on désactivera l'option du compte
- ps : perdre le mobile sera moins grave que perdre l'accès à sa boite mail qui sert d'idenditifant au compte principal zaclys
3/ est ce que c'est pas un peu excessif comme niveau de sécurité ?
- c'est une option : elle n'est pas activée par défaut, elle n'est pas proposée à la création du compte et la majorité des utilisateurs ne la verra pas : libre à chacun de l'activer dans "mon profil" et la désactiver à tout moment d'un simple clic.
- cependant le compte principal zaclys controle tous vos services zaclys , si une personne dérobe votre mot de passe du compte princinpal il a potentiellement accès depuis "mon profil" aux identifiants de votre service zcloud, zmail, zclef etc ... il peut donc changer le mot de passe de tous ces services et en prendre le controle en 2 clics , idem pour le mot de passe du compte principal qu'il peut changer facilement ...
on a des utilisateurs et des adhérents qui ont des documents confidentiels , que ce soit des petites entreprises ou des particuliers qui ont mis tous leurs documents administratifs et personnels sur le cloud zaclys , que ce soit un photographe professionnel qui dépose des photos de ses clients , ou un syndicat qui utilise le service mail pour discuter en privé avec ses membres , il y a des tas de situations où l'accès au compte principal et donc au controle de tous ces services doit être plus sécurisé que dans un cadre d'utilisation classique
alors on a déja au cours des années mis en place des tas de protections comme on l'a déja expliqué sur le site (firewall, https niveau A+, isolation, protections sqli et brut force, des sondes, et plein d'autres choses custom)
MAIS si un "keylogger" ou autre virus tourne sur le pc sur lequel vous saisissez votre mot de passe chez vous ou ailleurs,
ou bien par "phishing" si un petit malin vous envoie un faux mail de rappel d'abonnement par exemple dans lequel un lien vous emmène vers une copie de la page de connexion de zaclys sur laquelle vous saisissez vos identifiants ....
vous donnez dans les 2 cas vos identifiants de votre compte principal à un pirate mais si vous avez activé la double authentification par sms , il ne peut rien faire de votre mot de passe sans avoir aussi dérobé votre mobile
4/ Est ce que c'est aussi pénible que le 3Dsecure sur les paiements par CB ?
non, on a simplifié au maximum et surtout on a inversé le système ce qui change tout : c'est vous qui envoyez un sms au site et sans saisir de code : vous envoyez juste un sms au numéro de zaclys et ça fonctionne, vous pouvez même envoyer votre sms avant de vous connecter : une fois reçu par notre serveur il reste valide pendant 1 heure
alors la bonne astuce c'est de garder le numéro de zaclys dans vos contacts sur le mobile pour envoyer rapidement vos sms (un peu comme le 555 pour les utilisateurs de free qui sert à suivre en temps réel votre consommation en envoyant un sms à tout moment)
5/ ça va couter un bras à l'association ?
environ 10 euros par mois quelque soit le nombre de sms reçu par notre serveur : comme dit c'est vous qui envoyez les sms et ça change tout
6/ et depuis l'étranger ?
on a testé depuis le Liban, ça fonctionne bien (merci Arnaud) , mais si vous changez de SIM il faut penser à désactiver avant l'option "double authentif sms" sur le site zaclys et le réactiver avec la nouvelle carte SIM
7/ et si j'ai plusieurs comptes utilisateurs et un seul mobile ?
ça fonctionne : on a conçu le système pour pouvoir associer le meme mobile à plusieurs comptes utilisateurs zaclys