ente Authenticator
Fonctionnalités : sauvegardes cloud chiffrées de bout en bout et synchronisation multi-appareils. Mode hors ligne et import et export de jetons. C'est la seule solution open source disponible pour…
Alternatives privées à Google Authenticator, Microsoft Authenticator, Authy, vérifiées selon nos critères publics.
Regroupé par niveau de menace
Fonctionnalités : sauvegardes cloud chiffrées de bout en bout et synchronisation multi-appareils. Mode hors ligne et import et export de jetons. C'est la seule solution open source disponible pour…
Aegis Authenticator : chiffrement, organisation et sauvegardes pour Android
Fonctionnalités : synchronisation entre appareils, interface moderne et sauvegardes. Les principaux atouts sont les extensions de navigateur qui permettent une authentification en un clic, sans avoir à changer…
Non listé pour l'instant car Raivo a été vendu et le nouveau propriétaire n'a pas pu dissiper les inquiétudes évoquées dans la discussion GitHub. L'avertissement sera retiré une fois la situation…
Une app d'authentification TOTP qui stocke les secrets des mots de passe à usage unique sur une clé matérielle YubiKey plutôt que sur l'appareil, disponible sous Windows, Mac, Linux et Android.
Aucun résultat pour ces filtres.
| Tool | Backup | Cost |
|---|---|---|
| E2EE cloud | Free |
| Local export | Free |
| On hardware key | · |
| Encrypted cloud | Free |
| | None | Free |
| E2EE cloud | Free |
La double authentification ajoute une seconde couche de protection par-dessus votre mot de passe. Même si quelqu’un vole vos identifiants, il lui faut encore le code rotatif de votre app d’authentification pour entrer. Les apps open source ci-dessous gardent ces codes sur vos propres appareils, avec des sauvegardes chiffrées et une voie d’export claire, de sorte qu’un mot de passe fuité ne suffit pas à s’emparer d’un compte et que vous n’êtes jamais enfermé dans une plateforme.
Les authentificateurs intégrés aux grandes plateformes vous attachent à un compte plutôt qu’à un standard ouvert. Google Authenticator a longtemps été livré sans aucune sauvegarde, donc un téléphone perdu signifiait réenregistrer chaque site à la main, et sa synchronisation cloud plus récente fait passer vos codes par le même compte qui piste déjà le reste de votre vie. Authy enferme vos jetons dans un cloud propriétaire sans export propre, et c’est le piège à éviter. La solution n’est pas un paramètre caché. C’est une app construite autour du standard portable TOTP, où vos codes vous appartiennent et voyagent avec vous.
Chaque app ici est mesurée à l’aune de nos critères d’inclusion publics. Nous exigeons l’open source pour que le code qui génère vos codes puisse être inspecté de façon indépendante, une sauvegarde chiffrée ou une vraie voie d’export pour qu’un appareil perdu ne signifie jamais des comptes perdus, et un fonctionnement hors ligne pour que l’app n’ait jamais besoin d’appeler ses serveurs pour marcher. Nous pesons la facilité d’usage au quotidien de chacune, car un second facteur que les gens abandonnent ne protège rien. Nous ne listons qu’un authentificateur auquel nous confierions volontiers nos propres identifiants, et nous disons clairement où chacun fait des concessions.
Quatre choses comptent. D’abord, l’open source, pour que la sécurité soit vérifiable plutôt qu’une promesse. Ensuite, une sauvegarde chiffrée ou un export des jetons, pour que perdre votre téléphone soit récupérable au lieu d’être catastrophique. Troisièmement, les plateformes que vous utilisez vraiment, puisqu’une app qui tourne sur votre téléphone mais pas sur votre ordinateur portable vous oblige à attraper le téléphone à chaque connexion. Quatrièmement, la génération de codes hors ligne, pour que l’app fonctionne sans réseau et n’ait aucune excuse pour parler à un serveur. Aegis Authenticator sur Android et Ente Authenticator sur toutes les plateformes sont de bons exemples des quatre réunis au même endroit.
Oui, et l’écart est plus large qu’il n’y paraît. Un code envoyé par SMS est un secret en transit, et tout ce qui est en transit peut être intercepté, hameçonné vers une fausse page, ou volé purement et simplement via un SIM-swap qui livre votre numéro à un attaquant. Un code généré sur votre appareil ne le quitte jamais avant que vous le tapiez, donc il n’y a rien à intercepter. La seule faiblesse que les apps partagent avec les codes est l’astuce de la fausse page de connexion, où l’on vous piège pour que vous tapiez un vrai code sur un site imposteur. Si c’est ce qui vous inquiète, une clé de sécurité matérielle la referme, car la clé vérifie l’adresse web avant de répondre.
Ouvrez la nouvelle app, puis allez dans les paramètres de sécurité de vos comptes les plus importants, la messagerie d’abord, et choisissez d’ajouter un authentificateur. Chaque site affiche un QR code pendant la configuration. Scannez-le, confirmez le premier code généré, et ce compte est protégé. Traitez vos identifiants sur une semaine plutôt que tous d’un coup, et activez la sauvegarde chiffrée avant d’aller loin, pour que le changement soit réversible. Si vous quittez précisément les authentificateurs des plateformes, la même étape remplace Google Authenticator un site à la fois, et associer votre authentificateur à un mot de passe fort et unique sur chaque compte est ce qui fait compter le second facteur.