Développement #32786
Authentification multi-facteurs
0%
Description
Ticket chapeau, surtout pour en discuter.
Afin de mettre les choses au clair (ou pas), j'ai écrit un pad : https://pad.libre-entreprise.org/p/eo-multifacteurs
Éventuellement à transformer en page wiki (mais je sais pas trop où la mettre).
Files
Related issues
History
Updated by Valentin Deniaud over 5 years ago
- Related to Développement #32007: Niveau d'authentification et TOTP added
Updated by Valentin Deniaud over 5 years ago
- Related to Développement #32372: Gestion des niveaux d'authentification dans le SAML added
Updated by Valentin Deniaud over 5 years ago
- Related to Développement #32376: Introduire une distinction entre rôles statiques et dynamiques added
Updated by Valentin Deniaud over 5 years ago
- Status changed from Nouveau to En cours
Frédéric Péters a écrit : (https://dev.entrouvert.org/issues/32007/quoted?journal_id=171215)
Mais sur l'ensemble, ceci est mon opinion, les intrusions dans le code des autres applications m'ennuient. Ça n'empêche pas qu'il y a utilité à avoir dans authentic la gestion de multi-facteurs, mais à mon sens plutôt comme ça peut exister ailleurs, pour offrir à l'usager la possibilité de sécuriser ses accès.
C'est-à-dire, par rapport à ce que tu écris, "Si il tombe sur une page qui déclenche une montée d'auth", que cette partie resterait de côté pour le moment, que "aller activer un facteur d'auth supplémentaire à tout moment dans son profil a2" serait + "et demander à ce que facteur soit demandé lors des connexions à son compte".
Bref, pour redire la même chose encore une fois, il y a une partie multi-facteurs qui serait super et pourrait être utile dans authentic, mais la partie dans les autres applications est une trop grosse fiction aujourd'hui pour aller y faire des changements.
Je pense qu'il y a une certaine confusion autour de ce qu'on veut permettre, et j'espère que le pad indiqué plus haut permettra de mieux cerner dans quel sens part mon implem.
En l'état je n'y vois pas très clair dans ta réponse, ce que je distingue c'est que tu imagines un fonctionnement assez basique où des facteurs supplémentaires sont demandés au moment du login, ce que le système que je mets en place va permettre, comme un cas particulier d'une gestion qui peut être beaucoup plus fine.
Si au contraire tu avais déjà une vision claire de tout ça et que tu es en désaccord, j'aimerais bien que tu précises ce que tu as en tête quand tu évoques ce qui se fait « ailleurs » (il y a un exemple d'ailleurs qui fait ce que je fais à la fin du pad), et pourquoi faire des changements (mineurs autant que faire se peut) dans les autres applis constituent de la fiction alors que pour l'instant ça marche pas trop mal.
Updated by Frédéric Péters over 5 years ago
- File Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png added
ce que le système que je mets en place va permettre,
Oui, ce que je note c'est que c'est super d'avoir ça, c'est un travail qu'il faut regarder à merger. Mais que les usages plus avancés, intrusifs dans les applications, je ne tenterais pas de les merger. Dans #32380 je note qu'on devrait malgré tout trouver comment déployer ces branches expérimentales.
« ailleurs »
Je pensais par là à ce qui est présenté aux usagers, cf la capture attachée comme exemple dans gitlab, des trucs similaires doivent pouvoir être trouvés dans d'autres applications (github, google, etc.) et il serait intéressant d'en faire un inventaire. De très loin ça correspond à auth_oath/totp_profile.html, il y a "juste" du travail d'interface pour rendre ça accessible aux usagers.
Updated by Benjamin Dauvergne over 5 years ago
Je viens de trouver cela : https://krypt.co/
C'est une implémentation purement soft de U2F / web-authn pour mobile (appli mobile + démon local + plugin navigateur), c'est à explorer.
Updated by Valentin Deniaud about 3 years ago
- Status changed from En cours to Fermé