Double authentification à l'aide de l'OTP Google Authenticator
Publié : 19 octobre 2013 à 21:17
Bonjour,
J'ai mis en place il y a quelques jours, un système de double authentification à l'aide d'un mot de passe temporaire (OTP) obtenu par l’algorithme de Google Authenticator. Ce mécanisme n'est pas entièrement finalisé et est proposé en version bêta.
Google Authenticator est un algorithme de sécurité s'interfaçant entre la saisie d'un mot de passe correct et l'authentification finale de l'usager. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code valide pour ce même temps.
Il suffit alors d'utiliser une petite application sur son téléphone portable pour afficher toutes les 30 secondes un nouveau code. Une fois cette petite application configurée (moins de 10 secondes pour ce faire), c'est aussi simple que de lire l'heure
Ainsi, si le mot de passe de son compte est dévoilé, une personne malveillante ne pourra pas se connecter à votre compte si vous utilisez la validation en deux étape de Google Authenticator. Il me reste énormément de travail pour généraliser cette protection aux services ... mais c'est déjà un début, ça vas déjà éviter par exemple le vol de compte. Il y a des services comme le serveur FTP où l'OTP sera pratiquement impossible à implémenter dans l'état actuel.
Bien que cet algorithme ait été "développé" (mis en avant) par Google, il n'y aucune relation avec les services ou les comptes de Google et cet algorithme aurai pu s'appeler autrement.
Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par RSA Security, mais en solution libre.
Voici le lien pour y accéder : https://www.franceserv.fr/admin/protection/otp/
et la précédente protection par IP est accessible ici : https://www.franceserv.fr/admin/protection/ip/
Par la même occasion, j'ai commencé un remaniement de toutes les adresses des pages de l'interface de gestion. Les anciennes URL fonctionnent encore pour le moment afin d'effectuer cette modification progressivement.
J'ai mis en place il y a quelques jours, un système de double authentification à l'aide d'un mot de passe temporaire (OTP) obtenu par l’algorithme de Google Authenticator. Ce mécanisme n'est pas entièrement finalisé et est proposé en version bêta.
Google Authenticator est un algorithme de sécurité s'interfaçant entre la saisie d'un mot de passe correct et l'authentification finale de l'usager. L'algorithme se base sur une clef secrète fixe pour générer toutes les 30 secondes un nouveau code valide pour ce même temps.
Il suffit alors d'utiliser une petite application sur son téléphone portable pour afficher toutes les 30 secondes un nouveau code. Une fois cette petite application configurée (moins de 10 secondes pour ce faire), c'est aussi simple que de lire l'heure
Ainsi, si le mot de passe de son compte est dévoilé, une personne malveillante ne pourra pas se connecter à votre compte si vous utilisez la validation en deux étape de Google Authenticator. Il me reste énormément de travail pour généraliser cette protection aux services ... mais c'est déjà un début, ça vas déjà éviter par exemple le vol de compte. Il y a des services comme le serveur FTP où l'OTP sera pratiquement impossible à implémenter dans l'état actuel.
Bien que cet algorithme ait été "développé" (mis en avant) par Google, il n'y aucune relation avec les services ou les comptes de Google et cet algorithme aurai pu s'appeler autrement.
Google Authenticator est un système de validation OTP (One-Time Password) tout comme le système SecurID développé par RSA Security, mais en solution libre.
Voici le lien pour y accéder : https://www.franceserv.fr/admin/protection/otp/
et la précédente protection par IP est accessible ici : https://www.franceserv.fr/admin/protection/ip/
Par la même occasion, j'ai commencé un remaniement de toutes les adresses des pages de l'interface de gestion. Les anciennes URL fonctionnent encore pour le moment afin d'effectuer cette modification progressivement.