Project

General

Profile

Développement #32786

Authentification multi-facteurs

Added by Valentin Deniaud over 5 years ago. Updated about 3 years ago.

Status:
Fermé
Priority:
Normal
Assignee:
-
Category:
-
Target version:
-
Start date:
03 May 2019
Due date:
% Done:

0%

Estimated time:
Patch proposed:
No
Planning:
No

Description

Ticket chapeau, surtout pour en discuter.

Afin de mettre les choses au clair (ou pas), j'ai écrit un pad : https://pad.libre-entreprise.org/p/eo-multifacteurs
Éventuellement à transformer en page wiki (mais je sais pas trop où la mettre).


Files


Related issues

Related to Authentic 2 - Développement #32007: Niveau d'authentification et TOTPFermé04 April 2019

Actions
Related to Authentic 2 - Développement #32372: Gestion des niveaux d'authentification dans le SAMLFermé16 April 2019

Actions
Related to django-mellon - Développement #32376: Introduire une distinction entre rôles statiques et dynamiquesFermé16 April 2019

Actions

History

#1

Updated by Valentin Deniaud over 5 years ago

#2

Updated by Valentin Deniaud over 5 years ago

#3

Updated by Valentin Deniaud over 5 years ago

  • Related to Développement #32376: Introduire une distinction entre rôles statiques et dynamiques added
#4

Updated by Valentin Deniaud over 5 years ago

  • Status changed from Nouveau to En cours

Frédéric Péters a écrit : (https://dev.entrouvert.org/issues/32007/quoted?journal_id=171215)

Mais sur l'ensemble, ceci est mon opinion, les intrusions dans le code des autres applications m'ennuient. Ça n'empêche pas qu'il y a utilité à avoir dans authentic la gestion de multi-facteurs, mais à mon sens plutôt comme ça peut exister ailleurs, pour offrir à l'usager la possibilité de sécuriser ses accès.

C'est-à-dire, par rapport à ce que tu écris, "Si il tombe sur une page qui déclenche une montée d'auth", que cette partie resterait de côté pour le moment, que "aller activer un facteur d'auth supplémentaire à tout moment dans son profil a2" serait + "et demander à ce que facteur soit demandé lors des connexions à son compte".

Bref, pour redire la même chose encore une fois, il y a une partie multi-facteurs qui serait super et pourrait être utile dans authentic, mais la partie dans les autres applications est une trop grosse fiction aujourd'hui pour aller y faire des changements.

Je pense qu'il y a une certaine confusion autour de ce qu'on veut permettre, et j'espère que le pad indiqué plus haut permettra de mieux cerner dans quel sens part mon implem.

En l'état je n'y vois pas très clair dans ta réponse, ce que je distingue c'est que tu imagines un fonctionnement assez basique où des facteurs supplémentaires sont demandés au moment du login, ce que le système que je mets en place va permettre, comme un cas particulier d'une gestion qui peut être beaucoup plus fine.

Si au contraire tu avais déjà une vision claire de tout ça et que tu es en désaccord, j'aimerais bien que tu précises ce que tu as en tête quand tu évoques ce qui se fait « ailleurs » (il y a un exemple d'ailleurs qui fait ce que je fais à la fin du pad), et pourquoi faire des changements (mineurs autant que faire se peut) dans les autres applis constituent de la fiction alors que pour l'instant ça marche pas trop mal.

#5

Updated by Frédéric Péters over 5 years ago

ce que le système que je mets en place va permettre,

Oui, ce que je note c'est que c'est super d'avoir ça, c'est un travail qu'il faut regarder à merger. Mais que les usages plus avancés, intrusifs dans les applications, je ne tenterais pas de les merger. Dans #32380 je note qu'on devrait malgré tout trouver comment déployer ces branches expérimentales.

« ailleurs »

Je pensais par là à ce qui est présenté aux usagers, cf la capture attachée comme exemple dans gitlab, des trucs similaires doivent pouvoir être trouvés dans d'autres applications (github, google, etc.) et il serait intéressant d'en faire un inventaire. De très loin ça correspond à auth_oath/totp_profile.html, il y a "juste" du travail d'interface pour rendre ça accessible aux usagers.

#6

Updated by Benjamin Dauvergne over 5 years ago

Je viens de trouver cela : https://krypt.co/

C'est une implémentation purement soft de U2F / web-authn pour mobile (appli mobile + démon local + plugin navigateur), c'est à explorer.

#7

Updated by Valentin Deniaud over 4 years ago

  • Assignee deleted (Valentin Deniaud)
#8

Updated by Valentin Deniaud about 3 years ago

  • Status changed from En cours to Fermé

En stand-by depuis 2 ans, je ferme.

En même temps que #33515, #33556, #33708, #34575, #32376.

Also available in: Atom PDF