One-Time Password

One-Time Password

Définition wikipedia

Cette technologie est fondée sur un secret partagé unique. L’authentifieur contient le secret. Le serveur d’authentification contient le même secret.Grâce au partage de ce dénominateur commun il est alors possible de générer des mots de passe à usage unique (One-Time-Password).Du fait que ce type de technologie utilise un secret partagé il n’est pas possible d’assurer la non-répudiation.

source: https://fr.wikipedia.org/wiki/Authentification_forte#Exemple_de_solution_de_type_OTP

En gros, authenfication avec l’OTP que j’ai utlisé fonctionne de la sorte:

1) Authentification classique avec Login/Mdp
2) Si la saisie des identififants est correcte, vient la demande d’un code, dans mon cas numérique, pour finir de valider l’authentification.

Produit utilisé

Vu la facilité de la mise en place de cette double authentification (qui ne demande pas de serveur sms), je me suis tourné vers FreeOTP, maintenu par Red Hat sous licence Apache 2.0.

Mise en place avec WordPress

Pour wordpress, il faut installer une extension, il y en a plusieurs, j’ai choisi celle ci qui gere le TOTP:

Une fois l’extension installée, il suffit de cliquer sur « Auth à deux facteurs » et d’afficher les paramètres:

Sur votre smartphone, il suffit d’installer l’application via le playstore ou mieux, depuis fdroid.

Le plus simple ensuite, c’est de scanner le QRCode et l’application ajoutera une entrée.

Puis, connection classique sur wordpress:

Apparait alors la zone de saisie de votre code OTP:

Sur l’application freeOTP du smartphone, cliquez sur le nom de votre service et un code valide pendant 60 secondes sera généré.

Mise en place avec nextcloud

Aussi simple, télécharger et installer twofactor_totp.

Sans Téléphone ?

Il existe un client pour le shell linux, bash-otp: il requiet oathtool et xclip et il fonctionne plutôt bien également.

Vu la simplicité d’installation et d’utilisation de freeOTP, il serait dommage de s’en priver.