« Double authentification » : différence entre les versions
m →Fonctionnement de l'A2F : typo |
ajout FIDO2 + typos |
||
| Ligne 10 : | Ligne 10 : | ||
== Aide avec l'A2F == | == Aide avec l'A2F == | ||
=== Activer l'A2F === | === Activer l'A2F === | ||
L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet]. | L'activation est désormais normalement automatique. Si ce n'est pas le cas, contactez la DSI ou activez-la manuellement en suivant les étapes décrites sur [https://intranet.ens-lyon.fr/documentation/activation-du-second-facteur-application-totp l'intranet]. | ||
Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la [https://intranet.ens-lyon.fr/sujet_faq/faq-authentification-forte FAQ dédiée]. | Si vous avez des questions spécifiques, vérifiez avant tout qu'elle n'est pas sur la [https://intranet.ens-lyon.fr/sujet_faq/faq-authentification-forte FAQ dédiée]. | ||
== Authenticator == | == TOTP == | ||
La première méthode de double authentification mise en place à l'ENS a été le [https://fr.wikipedia.org/wiki/Mot_de_passe_à_usage_unique_basé_sur_le_temps TOTP] (''Time based One Time Password'' en anglais), ou <q> Mot de passe à usage unique basé sur le temps </q> en français. Pour l'utiliser vous aurez besoin d'une application tiers qu'il faudra configurer. Cette application génère le code supplémentaire à usage unique et le rafraîchit régulièrement : le caractère temporaire du code fait sa force. | |||
=== Authenticator === | |||
[https://authenticator.cc/ Authenticator]<ref>Google Authenticator est géré par Google.</ref> est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion. | [https://authenticator.cc/ Authenticator]<ref>Google Authenticator est géré par Google.</ref> est un des authentificateurs recommandé par l'ENS pour l'A2F. Il s'agit d'une extension navigateur. Vous pouvez l'installer sous Chrome (conseillé), Firefox, Edge ou Opéra. Cette extension génère des codes à six chiffres toutes les trente secondes, dit "codes temporaires", permettant de doubler le mot de passe lors de la connexion. | ||
=== Problèmes avec Authenticator === | ==== Problèmes avec Authenticator ==== | ||
Suivez dans l'ordre de la liste les différentes solutions proposées : | Suivez dans l'ordre de la liste les différentes solutions proposées : | ||
* Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas → activez la synchronisation automatique de l'heure. | * Mon code n'est pas valide : Vérifiez que votre appareil est à l'heure. S'il ne l'est pas → activez la synchronisation automatique de l'heure. | ||
* Authenticator vous a déconnecté | * Authenticator vous a déconnecté | ||
** Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite → <code>Backup</code>) → <code>externalBackup.xml</code> → Transférez le sur votre ordinateur → Votre navigateur favori → Authenticator → <code>Paramètres</code> → <code>Sauvegarde</code> → <code>Importer une sauvegarde</code> → Téléverser votre fichier <code>externalBackup.xml</code> (l'extension peut aussi être <code>.txt</code>). | ** Vous avez FreeOTP sur téléphone : Téléchargez un "backup file" depuis votre téléphone (sur FreeOTP : en haut à droite → <code>Backup</code>) → <code>externalBackup.xml</code> → Transférez le sur votre ordinateur → Votre navigateur favori → Authenticator → <code>Paramètres</code> → <code>Sauvegarde</code> → <code>Importer une sauvegarde</code> → Téléverser votre fichier <code>externalBackup.xml</code> (l'extension peut aussi être <code>.txt</code>). | ||
** Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" → Rentrez les à la place du code temporaire → Reconnectez vous sur Authenticator à l'aide de votre clé secrète. | ** Vous n'avez pas FreeOTP ou bien il vous a déconnecté de votre téléphone : Récupérez vos "scratch codes" → Rentrez les à la place du code temporaire → Reconnectez-vous sur Authenticator à l'aide de votre clé secrète. | ||
* Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement. | * Vous n'avez plus vos "scratch codes" : envoyez un mail à la DSI pour qu'elle vous redonne des accès manuellement. | ||
== Authy == | === Authy === | ||
Authy<ref>Authy est géré par Twilio.</ref> est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées [https://www.techrepublic.com/article/authy-vs-google-authenticator/ ici]. | Authy<ref>Authy est géré par Twilio.</ref> est l'autre authentificateur recommandé par l'ENS. Il ne s'agit pas d'une extension navigateur. Les différences avec Authenticator sont discutées [https://www.techrepublic.com/article/authy-vs-google-authenticator/ ici]. | ||
== FIDO2 == | |||
Courant 2025, suite à des failles face aux attaques par reverse proxy de type AITM, l'École a pris la décision de proposer en plus l'A2F par [https://www.microsoft.com/fr-fr/security/business/security-101/what-is-fido2 FIDO2], avec pour objectif à terme de remplacer complètement le TOTP. Pour l'utiliser il vous faudra dans un premier temps configurer votre compte [[Bitwarden]]. Il génère alors un code supplémentaire permanent<sup>[À vérifier]</sup> mais que seule une adresse précise pourra recevoir (en l'occurence celle du CAS ENS). | |||
=== Bitwarden === | |||
Pour activer l'A2F par FIDO2, il est fortement conseillé d'avoir un compte Bitwarden ENS. Le guide d'installation est trouvable [https://intranet.ens-lyon.fr/documentation/activation-de-lauthentification-forte-fido2 sur l'intranet]. En voici un résumé : | |||
* Sur la [https://cas.ens-lyon.fr/cas/account page du CAS], cliquez sur <code>Registered Multifactor Authentication Devices</code>, puis sur <code>S'enregistrer</code> (deux fois). Copiez quelque part votre nom de périphérique. | |||
* Un pop-up Bitwarden doit s'ouvrir<ref>Si ce n'est pas le cas, contactez la DSI.</ref> : dans la barre de recherche du pop-up, tapez <code>cas.ens-lyon.fr</code> (attention à ne pas vous tromper), puis cliquer sur le normalement seul résultat qui s'affiche. | |||
* Rendez-vous enfin sur la [https://mfa.ens-lyon.fr page d'authentification multifacteur (MFA) de l'ENS], puis cliquez sur <code>Activez la possibilité d'utiliser l'authentification FIDO2 sur votre compte.</code>. | |||
À présent, il vous est possible (et conseillé) d'utiliser la méthode FIDO2 WebAuthn lors de votre connexion au CAS. | |||
== Notes == | == Notes == | ||