Projet

Général

Profil

Development #33556

Multi-facteurs : ajout du facteur d'authentification TOTP

Ajouté par Valentin Deniaud il y a presque 5 ans. Mis à jour il y a plus de 2 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
-
Catégorie:
-
Version cible:
-
Début:
29 mai 2019
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Suite de #33550.
Méthode d'authentification classique par génération de code temporaire unique basée sur le temps, avec un secret transmis par QR code.
Encore pas mal de travail à faire ici, relecture, meilleure UI, et surtout sécurisation par l'envoi d'un email au moment de la première activation.


Fichiers

Historique

#2

Mis à jour par Frédéric Péters il y a presque 5 ans

Et donc le commentaire que je mettais dans #33550 vient ici, et rejoint la partie "travailler l'UI".

Je suggérais (bien mal) de commencer par recueillir ce qui pouvait exister niveau UI pour les usagers qui voudraient configurer ça (regarder gitlab, github, gmail, etc.). (mais à regarder ces patchs cette partie ne se trouve pas dans ce ticket).

Basiquement, quelque chose comme https://wiki.gnome.org/Design/Apps/Maps/RelevantArt , une compilation de captures d'écran. (tout ça pourrait aller dans une page du wiki)

#3

Mis à jour par Valentin Deniaud il y a presque 5 ans

  • Description mis à jour (diff)
#4

Mis à jour par Valentin Deniaud il y a presque 5 ans

  • Fichier 0003-auth_oath-deny-access-to-views-on-insufficient-auth-.patch ajouté

(oubli de commit un fichier)

#5

Mis à jour par Valentin Deniaud il y a presque 5 ans

  • Fichier 0003-auth_oath-deny-access-to-views-on-insufficient-auth-.patch supprimé
#6

Mis à jour par Valentin Deniaud il y a presque 5 ans

  • Fichier 0003-auth_oath-allow-user-to-enable-this-factor.patch supprimé
#8

Mis à jour par Valentin Deniaud il y a presque 5 ans

Frédéric Péters a écrit :

Basiquement, quelque chose comme https://wiki.gnome.org/Design/Apps/Maps/RelevantArt , une compilation de captures d'écran. (tout ça pourrait aller dans une page du wiki)

Fait ici, pour Google, Gitlab, Github https://dev.entrouvert.org/projects/bidon/wiki/Exemple_d'UI_authentification_TOTP. Pour le moment ça ne m'a pas paru utile d'en faire d'autres.
Par rapport à ce qui est déjà dans les patches du ticket, les bonnes idées à récupérer me semblent être les codes de secours, redemander le mot de passe avant de permettre l'activation et envoyer une notification par mail quand les réglages changent. Il faut aussi réfléchir à comment on va gérer le cas de quelqu'un qui a perdu son téléphone ou autre appareil et qui se retrouve bloqué.
Pourquoi pas ajouter une sous-page du profil a2 dédiée aux facteurs secondaires aussi, en l'état c'est sûrement pas très compréhensible d'avoir les réglages FC et TOTP affichés l'un à côté de l'autre, par ex.

#9

Mis à jour par Valentin Deniaud il y a presque 5 ans

Valentin Deniaud a écrit :

Pourquoi pas ajouter une sous-page du profil a2 dédiée aux facteurs secondaires aussi, en l'état c'est sûrement pas très compréhensible d'avoir les réglages FC et TOTP affichés l'un à côté de l'autre, par ex.

Fait dans le ticket d'avant https://dev.entrouvert.org/issues/33550#note-6.

#10

Mis à jour par Valentin Deniaud il y a presque 5 ans

Nettoyage et textes plus clairs, puis squash général (patchs 2, 3, 4 réunis).

#11

Mis à jour par Valentin Deniaud il y a presque 5 ans

  • Fichier 0002-auth2_multifactor-add-OATH-authentication-factor.patch supprimé
#12

Mis à jour par Valentin Deniaud il y a presque 5 ans

Ajout des codes de secours (et je mets à jour le patch d'avant car oubli de commit un fichier).

#13

Mis à jour par Valentin Deniaud il y a plus de 4 ans

Du mieux avec les nouvelles idées que j'ai eues en codant #34575. Plus de patch 3, tout dans le 2.

#14

Mis à jour par Benjamin Dauvergne il y a plus de 4 ans

Plusieurs choses en passant, ne pas utiliser le système de plugin, il est déprécié.

En faire une application à part dans authentic2_auth_otp par exemple.

#15

Mis à jour par Valentin Deniaud il y a plus de 4 ans

Benjamin Dauvergne a écrit :

le système de plugin est déprécié.

Pas sûr de comprendre cette formulation, toutes les apps dans src/ du type authentic2_auth_* étant aussi des plugins.
J'en déduis que ce qui est déprécié c'est de les planquer autre part. Donc un mv et c'est dans la poche, en gros, pas de code à modifier ?

#16

Mis à jour par Benjamin Dauvergne il y a plus de 4 ans

Valentin Deniaud a écrit :

Benjamin Dauvergne a écrit :

le système de plugin est déprécié.

Pas sûr de comprendre cette formulation, toutes les apps dans src/ du type authentic2_auth_* étant aussi des plugins.

Ça ne change pas le fait qu'il ne faut pas en créer de nouvelle.

J'en déduis que ce qui est déprécié c'est de les planquer autre part. Donc un mv et c'est dans la poche, en gros, pas de code à modifier ?

Le système de plugin est déprécié ça veut dire : il faut tout déclarer dans les settings directement et simplement.

L'autre partie qui n'a rien à voir avec les plugins c'est qu'on ne crée plus d'application dans authentic2/ on les met dans src en utilisant le namespace authentic2_*.

#17

Mis à jour par Valentin Deniaud il y a plus de 4 ans

C'est marrant, du coup j'ai presque l'impression de faire du django et pas de l'authentic ! (/trolldi)

#18

Mis à jour par Benjamin Dauvergne il y a plus de 4 ans

Valentin Deniaud a écrit :

C'est marrant, du coup j'ai presque l'impression de faire du django et pas de l'authentic ! (/trolldi)

C'est l'objectif.

#19

Mis à jour par Valentin Deniaud il y a environ 4 ans

  • Statut changé de Solution proposée à Nouveau
  • Assigné à Valentin Deniaud supprimé

(plus envie d'avoir ces tickets dans mon rapport redmine)

#20

Mis à jour par Valentin Deniaud il y a plus de 2 ans

  • Statut changé de Nouveau à Fermé

Formats disponibles : Atom PDF