Related pages: đŹđ§ 2FA TOTP
1. 2FA TOTP
Quand vos utilisateurs se connectent sur Pwic.wiki, vous voudriez exiger un mot de passe secondaire aléatoire pour renforcer la sécurité. Ceci s'appelle la double authentification. Elle réduit les risques si le mot de passe primaire (généralement moins changé) est compromis.
TOTP est un algorithme simple : aprĂšs l'Ă©change d'une clĂ© secrĂšte, un code PIN Ă 6 chiffres est gĂ©nĂ©rĂ© Ă la volĂ©e pour 30 secondes. Sur la page de connexion, l'objectif est d'utiliser ce code numĂ©rique au mĂȘme moment. La clĂ© secrĂšte TOTP doit rester privĂ©e.
Selon l'implémentation actuelle, vous devez savoir que :
- l'appareil 2FA de l'utilisateur doit ĂȘtre Ă l'heure rĂ©elle,
- l'utilisateur ne peut pas utiliser 2FA TOTP si l'authentification fĂ©dĂ©rĂ©e (SSO) est activĂ©e parce que le service tiers d'identitĂ© principale peut lui-mĂȘme dĂ©jĂ inclure un mĂ©canisme de double authentification (comme TOTP, SMS, appels tĂ©lĂ©phoniques...).
1.1. Ătapes
Configurez l'option base_url. Par exemple :
- Linux :
./pa set-env base_url "http://localhost:8080" - Windows :
pa set-env base_url "http://localhost:8080"
Activez l'option totp :
- Linux :
./pa set-env totp X - Windows :
pa set-env totp X
Installez une application compatible avec TOTP sur l'appareil externe de l'utilisateur. Il existe plusieurs bonnes applications pour ce faire, sans promotion ici.
Activez 2FA pour le compte de l'utilisateur :
- Linux :
./pa reset-totp demo - Windows :
pa reset-totp demo
Vous obtenez ce genre d'information :
To configure 2FA TOTP fully, share securely the following info with the user "demo":
- Key: 7GFRI73GQMHYYH5IG55DQ55FEQJXQRDJ
- URL: otpauth://totp/localhost%3A8080:demo?secret=7GFRI73GQMHYYH5IG55DQ55FEQJXQRDJ&issuer=localhost%3A8080
L'adresse URL peut ĂȘtre convertie en code QR par vos propres moyens. L'utilisateur peut flasher ce code QR pour configurer son application en un clic. Sinon il doit ajouter la clĂ© secrĂšte manuellement.
1.2. Usage
Sur la page de connexion, si votre compte est activĂ© pour 2FA TOTP, tapez le code PIN en mĂȘme temps que votre mot de passe primaire.
Si l'utilisateur a perdu son 2FA, répétez la configuration pour générer une nouvelle clé. Et en utilisant l'option --disable, vous pouvez désactiver 2FA pour l'utilisateur.
Revision #1 was last modified by gitbra
on 2023-12-11 at 00:00:00 — 3fcc7b6f30ef7bf1