Discussion :

[fbalien]

bonjour

qu'utilisez vous comme système d'authentification multi-facteur dans vos applications ?

[sergio_is_back]

bonjour

qu'utilisez vous comme système d'authentification multi-facteur dans vos applications ?

Personnellement je n'en ai jamais encore eu l'utilité donc je ne me suis pas posé encore la question.
Mais on risque de me le demander un jour, faudrait que je commence à y réfléchir...

Il y a quelques années j'avais développé un soft (qui fonctionne encore chez le client) qui générer un QRCODE (avec zint.dll) que chaque terminal portable devait venir scanner pour s'appairer avec l'application , si je devais faire quelque chose là dessus j'imagerai surement un truc comme ça mais avec un téléphone portable par exemple (le téléphone devant être préalablement déclaré bien sur). Ou alors l'envoi d'un code par SMS vers un téléphone portable (avec expiration au bout de 20 secondes par exemple)...

Sinon il y a solution avec les outils Google, mais bon... en entreprise je me méfie de Google...

[pprem]

Ca dépend si on est sur un logiciel "desktop" ou "mobile".

En mobile on peut se servir du système d'authentification de l'appareil (FaceID, TouchID, scan empreinte ou autres).

Dans tous les cas on peut générer un envoi de texto (mais à la longue ça coûte cher et faut à la fois une connexion Internet pour le logiciel et un GSM).

Je lorgne sur U2F (yubikey&co) avec une clé USB ou autre qui déverrouille le logiciel en fonction du compte utilisateur, mais pour le moment il faut passer par un navigateur compatible. A ma connaissance pas d'API exploitable pour nous en direct.

Il y a aussi la solution des codes à usage unique (TOTP par exemple).

Certains softs et sites se déverrouillent avec une application mobile. Je l'ai tenté sur certains des miens, c'est très simple à faire, mais fastidieux. (le hic c'est toujours d'avoir un device en plus de celui qui exécute le logiciel)

en réalité on peut quasiment tout faire mais reste à jauger la complexité pour l'utilisateur et le coût de la techno selon le nombre d'utilisateurs (le texto c'est jouable si on a un nombre d'utilisateurs limités, moins si l'application est utilisée par des millions de personnes).

[fbalien]

Bonjour

le SMS oui j'utilise déjà en effet mais il me semble que l'anssi ne le préconise plus
de plus effectivement cela à un coût et il faut que la connexion internet fonctionne
c'est dommage qu'il n'y ait pas encore d'API sur les U2F