7 votes

AdLinux avatar

FreeOTP ou FreeOTP+ - Lequel est le plus sûr ?

Demandé el 23 de Février, 2020
Quand la question a-t-elle été
1623 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'utilise FreeOTP de Redhat/Fedora depuis quelques années maintenant comme principale application d'authentification à deux voies. Cependant, je me suis rendu compte que la version actuelle (1.5) date d'un certain nombre d'années (elle a été publiée en 2016).

https://freeotp.github.io/

https://f-droid.org/packages/org.fedorahosted.freeotp/

Il existe cependant une version forkée ; FreeOTP+. La dernière mise à jour de ce fork (1.7) est sortie en décembre 2019, ce qui la rend bien plus à jour que l'application amont.

https://f-droid.org/en/packages/org.liberty.Android.freeotpplus/

Je suis toutefois préoccupé par la sécurité, car l'application joue un rôle très important dans la sécurité du compte. Je suis également incertain car je ne suis pas trop familier avec le travail/la fiabilité du développeur du fork (je ne veux pas l'offenser quand je dis cela, je suis juste prudent quand il s'agit de la sécurité des comptes), alors que je sais que Redhat est une société sûre et respectueuse de la liberté.

Alors, quelle serait l'option la plus sûre ? Devrais-je m'en tenir à l'ancien FreeOTP ? Les applications d'authentification bidirectionnelle doivent-elles avoir des correctifs de sécurité à jour ? Ou puis-je faire confiance au FreeOTP+, plus récent ?

En outre, même si j'apprécie l'aide et les bonnes intentions des personnes qui recommandent cette solution, je vous prie de ne pas me recommander d'utiliser les authentificateurs Google ou Microsoft à la place. Je veux utiliser une application d'authentification libre/open source plutôt qu'une application propriétaire.

Demandé el 23 de Février, 2020 par AdLinux

0 votes

Avatar de pr0nin

En vérifiant rapidement les derniers commits des deux projets, je n'ai vu aucun commit ciblant un problème de sécurité. Le projet original FreeOTP n'a rien publié ces dernières années, mais il est toujours activement développé sur Github. Il y a donc une troisième option qui consiste à cloner le repo et à construire votre propre version.

Commenté el 23 de Février, 2020 par pr0nin

0 votes

Avatar de AdLinux

@Robert hey merci mec, donc toutes les options sont bonnes ?

Commenté el 24 de Février, 2020 par AdLinux

Réponse

Trop de publicités?

7voto

fossdd avatar
fossdd Points 101

En général, je dirais que les deux sont sûrs.

FreeOTP : Développé par Fedora par RedHat. Donc par une société de propriété. Mais c'est une source ouverte pour tout le monde, ce qui signifie que s'il y avait des fuites chez RedHat, la communauté FLOSS le signalerait à F-Droid et aux pages d'actualités. Ce serait un gros scandale pour RedHat et beaucoup de gens perdraient confiance en Fedora. Deuxièmement, il n'est pas maintenu. Ils fournissent quelques commits, mais pas de versions que F-Droid peut construire. Je suppose que l'OTP ne propose pas de problèmes de sécurité.

FreeOTP+ : Un fork maintenu de FreeOTP. Il est développé par une personne privée, Howard Liberty. Il offre des mises à jour. Mais comme pour FreeOTP, la communauté trouvera des problèmes si votre pricacy n'est pas sécurisé. F-Droid désactivera ces versions (s'ils trouvent des problèmes).

Mais il y a aussi d'autres applications 2FA qui sont disponibles en open-source (et installables dans le repo officiel de F-Droid) :

Authentificateur OTP : Un client de base, mais qui n'offre pas de nouvelles commandes. Développé par Bruno Bierbaumer. Dernier commit/release au 23 déc. 2015.

etOTP : Fork actif d'OTP Authenticator. Ils continuent l'amont. La dernière version date du 28 octobre 2020. Mais ils offrent de nouveaux commits. Il a une grande communauté sur GitHub (2.8k étoiles). Le développeur principal est Jakob Nixdorf.

Aegis Authenticator : Il s'agit de 2FA par Alexander Bakker et Michael Schättgen. A mon avis, il a l'air un peu militaire, mais n'a pas de trackers puisqu'il est disponible dans F-Droid. Il a 1,6 étoiles sur GitHub.

Authenticator (Google) : Vous êtes triste de ne pas vouloir le Google Authenticator comme réponse. Mais cette application est par google et est open source. La dernière version de F-Droid date de 2012. Mais leur dépôt offre des commits et des versions de 2019. C'est un "fork" de l'accessoire. Google Authenticator disponible sur le prop. Play Store. Il n'est pas sûr qu'il y ait une base de code de l'application officielle ou qu'elle reçoive des mises à jour par la prop. App. Je ne suis pas sûr, s'il y a des trackers. (Mais je pense que oui.)

J'utilise personnellement FreeOTP+. Mais je peux aussi vous suggérer andOTP. Je cherche à passer à cotp. cotp est un outil en ligne de commande développé pour l'ordinateur. Et peut être capable d'utiliser avec Termux

Répondu el 14 de Février, 2021 par fossdd (101 Points )

0 votes

Avatar de Winter Faulk

Au cas où vous souhaiteriez abandonner FreeOTP pour FreeOTP+, voici un script nodejs qui convertit tokens.xml en un fichier json pour être importé dans FreeOTP+ : gitlab.com/sid-the-sloth/conversion-scripts/-/blob/master/

Commenté el 4 de Mars, 2021 par Winter Faulk

Questions en vedette

Top Tags

Dans notre réseau

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X