C’est également pour cette raison que j’avais choisi Authy

Pour info, toutes les Authenticator sont compatibles entre eux. Même si une application demande Google, elle fonctionne avec les autres. Perso j’utilise Microsoft Authenticator qui marche très bien et supporte le backup depuis des années.

Vos captures de « look plus moderne » (je n’ai pas encore reçu la mise à jour sur mon téléphone) ont le même énorme défaut que beaucoup de design qui se veulent « plus modernes » : une immense perte de place. C’est en fait la seule différence réelle : ils ont ajouté du vide partout.
Pour moi qui ais une LONGUE liste de codes, c’est vraiment pas cool.

J’espère qu’ils auront résolu le problème de performance avec beaucoup de codes, mais j’en doute, aucun des articles qui parlent de la nouvelle version ne mentionnent autre chose que la sauvegarde cloud (= ce n’est plus vraiment du 2FA) et le design. L’appli rame à l’ouverture et à chaque tour d’horloge (donc les codes générés ont 5-10s d’âge au moment où ils s’affichent). À une époque ils masquaient les codes et il fallait appuyer dessus pour les révéler, mais c’était très mal fait (mêmes défauts, au lieu d’en profiter pour ne calculer chaque code que s’il est affiché). Il faudrait pouvoir faire des dossiers, ou au moins ne générer que les codes à l’écran.

Mais du coup si c’est synchronisé avec le compte Google, quelqu’un qui prendrait le contrôle du compte Google peut se « double authentifier » à un service quelconque ?

Oui, à condition d’avoir aussi le premier facteur pour ce « service quelconque ».

Le problème à l’origine de tout ça c’est le bridage des téléphones. Sur Android on ne peut pas copier les données d’une application.
Toutes les apps de sauvegarde ne sauvegardent que les apps, pas les données des applications ce qui les rend inutiles puisque la partie application est disponible sur le store.

Ca pose de gros problèmes avec les double authentification. Pour l’appli FortiToken par exemple un admin doit intervenir chaque fois que quelqu’un change de téléphone ou le réinitialise. Que de travail qui pourrait être évité si l’on copait copier les données des applications.
Les applications de banque aussi c’est la galère à cause de ça.

Ce n’est pas un bridage, c’est une sécurité. C’est quand même bien que n’importe quelle application ne puisse pas aller lire tes clés 2FA ou ta clé d’authentification auprès de ta banque, non ?

Et les applications dont les données ne sont pas sensibles (par exemple des sauvegardes de jeux) ont la possibilité de stocker leurs données dans un espace partagé, que les applications de sauvegardes peuvent sauvegarder.

Ça sert à générer des mots de passe temporaires pour s’authentifier dans certaines applications, en plus du login et du mot de passe classique. Ça fait une sécurité supplémentaire, puisque même en arrivant à obtenir ton mot de passe classique, un attaquant ne pourra pas l’utiliser, il lui manquera le mot de passe temporaire.

Ce ne sont pas les mots de passe temporaires qui sont sauvegardés, ce sont les clés qui servent à les générer.

Sur quel appareil ?

J’utilise Google Authenticator, Microsoft Authenticator (qui lui a une fonction de sauvegarde aussi) et les codes 2FA sont stockés sur mon PC dans un fichier chiffré. Je pense avoir fait assez de backup comme ça ^^

Google a annoncé lundi que son application d’authentification à deux facteurs (2FA) Google Authenticator prend maintenant en charge le synchronisation dans le cloud, ce qui le rend plus convivial à utiliser. Mais les experts recommandent de ne pas l’activer, car cette fonctionnalité ajoute de nouveaux risque de sécurité. Le trafic n’est pas chiffré de bout en bout, ce qui signifie que Google peut voir les secrets, probablement même lorsqu’ils sont stockés sur leurs serveurs. Ils sont également exposés au vol par les acteurs malveillants. Il n’y pas d’option pour ajouter une phrase de passe pour protéger les secrets, afin qu’ils ne soient accessibles qu’à l’utilisateur.

source : Google peut voir vos secrets lorsque la synchronisation dans le cloud est activée pour Google Authenticator, les données ne sont pas chiffrées de bout en bout et sont exposées aux violations

Pixel 4a. Donc un machin moderne et performant, plus récent d’ailleurs que l’application. Si j’avais encore été sur mon précédent (Nexus 4), on aurait pu accuser le téléphone, comme tu le sous-entends par ta question.
Mais là on a bien un problème de conception de l’appli, qui calcule des dizaines de codes inutilement à chaque tour. Ça ne devrait calculer que les codes affichés. Et proposer des dossiers, ne serait-ce que pour mieux s’y retrouver (surtout avec le changement de design qui ajout des espaces vides partout et allonge donc la liste), ou alléger les latences si l’appli persiste à calculer tout le dossier au lieu de ce qui est affiché.

Pour info, j’ai environ 60 codes.

En effet sous-entendu détecté

C’est vrai que lancer les calculs de tous les codes à l’ouverture c’est un non-sens. Ce ne serait pas grand-chose à faire pour éviter ces problèmes de perf.

Oui
Ce matin j’ai la nouvelle application. Elle continue de tout calculer bêtement, mais c’est étrangement bien plus performant.
Graphiquement c’est pareil qu’hier et donc différent du « nouveau design » annoncé par clubic. Ouf, le scrolling n’est donc pas doublé.