Development #32786
Authentification multi-facteurs
0%
Description
Ticket chapeau, surtout pour en discuter.
Afin de mettre les choses au clair (ou pas), j'ai écrit un pad : https://pad.libre-entreprise.org/p/eo-multifacteurs
Éventuellement à transformer en page wiki (mais je sais pas trop où la mettre).
Fichiers
| Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png (73,6 ko) Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png |
Demandes liées
Historique
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Lié à Development #32007: Niveau d'authentification et TOTP ajouté
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Lié à Development #32372: Gestion des niveaux d'authentification dans le SAML ajouté
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Lié à Development #32376: Introduire une distinction entre rôles statiques et dynamiques ajouté
Mis à jour par Valentin Deniaud il y a presque 5 ans
- Statut changé de Nouveau à En cours
Frédéric Péters a écrit : (https://dev.entrouvert.org/issues/32007/quoted?journal_id=171215)
Mais sur l'ensemble, ceci est mon opinion, les intrusions dans le code des autres applications m'ennuient. Ça n'empêche pas qu'il y a utilité à avoir dans authentic la gestion de multi-facteurs, mais à mon sens plutôt comme ça peut exister ailleurs, pour offrir à l'usager la possibilité de sécuriser ses accès.
C'est-à-dire, par rapport à ce que tu écris, "Si il tombe sur une page qui déclenche une montée d'auth", que cette partie resterait de côté pour le moment, que "aller activer un facteur d'auth supplémentaire à tout moment dans son profil a2" serait + "et demander à ce que facteur soit demandé lors des connexions à son compte".
Bref, pour redire la même chose encore une fois, il y a une partie multi-facteurs qui serait super et pourrait être utile dans authentic, mais la partie dans les autres applications est une trop grosse fiction aujourd'hui pour aller y faire des changements.
Je pense qu'il y a une certaine confusion autour de ce qu'on veut permettre, et j'espère que le pad indiqué plus haut permettra de mieux cerner dans quel sens part mon implem.
En l'état je n'y vois pas très clair dans ta réponse, ce que je distingue c'est que tu imagines un fonctionnement assez basique où des facteurs supplémentaires sont demandés au moment du login, ce que le système que je mets en place va permettre, comme un cas particulier d'une gestion qui peut être beaucoup plus fine.
Si au contraire tu avais déjà une vision claire de tout ça et que tu es en désaccord, j'aimerais bien que tu précises ce que tu as en tête quand tu évoques ce qui se fait « ailleurs » (il y a un exemple d'ailleurs qui fait ce que je fais à la fin du pad), et pourquoi faire des changements (mineurs autant que faire se peut) dans les autres applis constituent de la fiction alors que pour l'instant ça marche pas trop mal.
Mis à jour par Frédéric Péters il y a presque 5 ans
- Fichier Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png Screenshot_2019-05-04 Two-Factor Authentication · Account · User Settings.png ajouté
ce que le système que je mets en place va permettre,
Oui, ce que je note c'est que c'est super d'avoir ça, c'est un travail qu'il faut regarder à merger. Mais que les usages plus avancés, intrusifs dans les applications, je ne tenterais pas de les merger. Dans #32380 je note qu'on devrait malgré tout trouver comment déployer ces branches expérimentales.
« ailleurs »
Je pensais par là à ce qui est présenté aux usagers, cf la capture attachée comme exemple dans gitlab, des trucs similaires doivent pouvoir être trouvés dans d'autres applications (github, google, etc.) et il serait intéressant d'en faire un inventaire. De très loin ça correspond à auth_oath/totp_profile.html, il y a "juste" du travail d'interface pour rendre ça accessible aux usagers.
Mis à jour par Benjamin Dauvergne il y a presque 5 ans
Je viens de trouver cela : https://krypt.co/
C'est une implémentation purement soft de U2F / web-authn pour mobile (appli mobile + démon local + plugin navigateur), c'est à explorer.
Mis à jour par Valentin Deniaud il y a plus de 2 ans
- Statut changé de En cours à Fermé