Related pages: 🇬🇧 2FA TOTP
1. 2FA TOTP
Quand vos utilisateurs se connectent sur Pwic.wiki, vous voudriez exiger un mot de passe secondaire aléatoire pour renforcer la sécurité. Ceci s'appelle la double authentification. Elle réduit les risques si le mot de passe primaire (généralement moins changé) est compromis.
TOTP est un algorithme simple : après l'échange d'une clé secrète, un code PIN à 6 chiffres est généré à la volée pour 30 secondes. Sur la page de connexion, l'objectif est d'utiliser ce code numérique au même moment. La clé secrète TOTP doit rester privée.
Selon l'implémentation actuelle, vous devez savoir que :
- l'appareil 2FA de l'utilisateur doit être à l'heure réelle,
- l'utilisateur ne peut pas utiliser 2FA TOTP si l'authentification fédérée (SSO) est activée parce que le service tiers d'identité principale peut lui-même déjà inclure un mécanisme de double authentification (comme TOTP, SMS, appels téléphoniques...).
1.1. Étapes
Configurez l'option base_url. Par exemple :
- Linux :
./pa set-env base_url "http://localhost:8080" - Windows :
pa set-env base_url "http://localhost:8080"
Activez l'option totp :
- Linux :
./pa set-env totp X - Windows :
pa set-env totp X
Installez une application compatible avec TOTP sur l'appareil externe de l'utilisateur. Il existe plusieurs bonnes applications pour ce faire, sans promotion ici.
Activez 2FA pour le compte de l'utilisateur :
- Linux :
./pa reset-totp demo - Windows :
pa reset-totp demo
Vous obtenez ce genre d'information :
To configure 2FA TOTP fully, share securely the following info with the user "demo":
- Key: 7GFRI73GQMHYYH5IG55DQ55FEQJXQRDJ
- URL: otpauth://totp/localhost%3A8080:demo?secret=7GFRI73GQMHYYH5IG55DQ55FEQJXQRDJ&issuer=localhost%3A8080
L'adresse URL peut être convertie en code QR par vos propres moyens. L'utilisateur peut flasher ce code QR pour configurer son application en un clic. Sinon il doit ajouter la clé secrète manuellement.
1.2. Usage
Sur la page de connexion, si votre compte est activé pour 2FA TOTP, tapez le code PIN en même temps que votre mot de passe primaire.
Si l'utilisateur a perdu son 2FA, répétez la configuration pour générer une nouvelle clé. Et en utilisant l'option --disable, vous pouvez désactiver 2FA pour l'utilisateur.
Revision #1 was last modified by gitbra
on 2025-01-08 at 00:00:00 — 3fcc7b6f30ef7bf1