Project

General

Profile

Development #32786

Authentification multi-facteurs

Added by Valentin Deniaud 11 months ago. Updated 10 months ago.

Status:
En cours
Priority:
Normal
Category:
-
Target version:
-
Start date:
03 May 2019
Due date:
% Done:

0%

Patch proposed:
No
Planning:
No

Description

Ticket chapeau, surtout pour en discuter.

Afin de mettre les choses au clair (ou pas), j'ai écrit un pad : https://pad.libre-entreprise.org/p/eo-multifacteurs
Éventuellement à transformer en page wiki (mais je sais pas trop où la mettre).


Related issues

Related to Authentic 2 - Development #32007: Niveau d'authentification et TOTP Fermé 04 Apr 2019
Related to Authentic 2 - Development #32372: Gestion des niveaux d'authentification dans le SAML Fermé 16 Apr 2019
Related to django-mellon - Development #32376: Introduire une distinction entre rôles statiques et dynamiques Solution proposée 16 Apr 2019

History

#1 Updated by Valentin Deniaud 11 months ago

#2 Updated by Valentin Deniaud 11 months ago

  • Related to Development #32372: Gestion des niveaux d'authentification dans le SAML added

#3 Updated by Valentin Deniaud 11 months ago

  • Related to Development #32376: Introduire une distinction entre rôles statiques et dynamiques added

#4 Updated by Valentin Deniaud 11 months ago

  • Status changed from Nouveau to En cours

Frédéric Péters a écrit : (https://dev.entrouvert.org/issues/32007/quoted?journal_id=171215)

Mais sur l'ensemble, ceci est mon opinion, les intrusions dans le code des autres applications m'ennuient. Ça n'empêche pas qu'il y a utilité à avoir dans authentic la gestion de multi-facteurs, mais à mon sens plutôt comme ça peut exister ailleurs, pour offrir à l'usager la possibilité de sécuriser ses accès.

C'est-à-dire, par rapport à ce que tu écris, "Si il tombe sur une page qui déclenche une montée d'auth", que cette partie resterait de côté pour le moment, que "aller activer un facteur d'auth supplémentaire à tout moment dans son profil a2" serait + "et demander à ce que facteur soit demandé lors des connexions à son compte".

Bref, pour redire la même chose encore une fois, il y a une partie multi-facteurs qui serait super et pourrait être utile dans authentic, mais la partie dans les autres applications est une trop grosse fiction aujourd'hui pour aller y faire des changements.

Je pense qu'il y a une certaine confusion autour de ce qu'on veut permettre, et j'espère que le pad indiqué plus haut permettra de mieux cerner dans quel sens part mon implem.

En l'état je n'y vois pas très clair dans ta réponse, ce que je distingue c'est que tu imagines un fonctionnement assez basique où des facteurs supplémentaires sont demandés au moment du login, ce que le système que je mets en place va permettre, comme un cas particulier d'une gestion qui peut être beaucoup plus fine.

Si au contraire tu avais déjà une vision claire de tout ça et que tu es en désaccord, j'aimerais bien que tu précises ce que tu as en tête quand tu évoques ce qui se fait « ailleurs » (il y a un exemple d'ailleurs qui fait ce que je fais à la fin du pad), et pourquoi faire des changements (mineurs autant que faire se peut) dans les autres applis constituent de la fiction alors que pour l'instant ça marche pas trop mal.

#5 Updated by Frédéric Péters 11 months ago

34015

ce que le système que je mets en place va permettre,

Oui, ce que je note c'est que c'est super d'avoir ça, c'est un travail qu'il faut regarder à merger. Mais que les usages plus avancés, intrusifs dans les applications, je ne tenterais pas de les merger. Dans #32380 je note qu'on devrait malgré tout trouver comment déployer ces branches expérimentales.

« ailleurs »

Je pensais par là à ce qui est présenté aux usagers, cf la capture attachée comme exemple dans gitlab, des trucs similaires doivent pouvoir être trouvés dans d'autres applications (github, google, etc.) et il serait intéressant d'en faire un inventaire. De très loin ça correspond à auth_oath/totp_profile.html, il y a "juste" du travail d'interface pour rendre ça accessible aux usagers.

#6 Updated by Benjamin Dauvergne 10 months ago

Je viens de trouver cela : https://krypt.co/

C'est une implémentation purement soft de U2F / web-authn pour mobile (appli mobile + démon local + plugin navigateur), c'est à explorer.

Also available in: Atom PDF