Jump to content

Équipe de sécurité Wikimédia/Authentification à deux facteurs pour les wikis CentralAuth

From mediawiki.org
This page is a translated version of the page Wikimedia Security Team/Two-factor Authentication for CentralAuth wikis and the translation is 100% complete.

A l'ère des fuites massives de données, des campagnes de phishing réussies et du nombre de mots de passe supérieur à votre capacité mémorielle, l'authentification à deux facteurs vous permet de vous authentifier sur un wiki à la fois avec un mot de passe que vous connaissez et également en prouvant que vous avez accès à un long secret aléatoire stocké sur un de vos appareils

Activation de la double-authentification

Pour s'inscrire pour la double-authentification, allez dans vos préférences après vous être connecté sur un wiki CentralAuth et cliquez sur « Autoriser l'authentification à deux facteurs » (ou allez directement sur Special:OATH) et suivez les instructions. Vous pouvez soit scanner le code QR, soit entrer manuellement le secret partagé dans votre appareil à second-facteur d'authentification. Vous pouvez utiliser FreeOTP (Android/iOS), Google Authenticator (Android/iOS), andOTP (Android), Authentificateur (extension chrome), Authentificateur (extension Firefox), Authentificateur (extension Edge), ou l'utilitaire en ligne de commande 'oathtool' (fourni par le paquet « oathtool ») pour Debian (« sudo apt install oathtool »), openSUSE, et d'autres plateformes.

Désactivation de la double-authentification

Si vous avez besoin de désactiver la double-authentification (et que vous possédez toujours votre appareil faisant office de second facteur), vous pouvez aller sur Special:OATH quand vous le voulez, entrer le code actuel et elle sera retirée de votre compte.

Codes uniques

FAQ

Ceci deviendra-t-il obligatoire ?
L'authentification à deux facteurs est nécessaire pour les administrateurs, intendants et autres responsables privilégiés. Il est possible que d'autres comptes avec l'accès à des informations sensibles doivent aussi l'utiliser dans le futur, mais ce n'est pas prévu pour l'instant.
Que faire si je perds mon téléphone/jeton/secret?
Un utilisateur avec l'accès shell peut retirer la double-authentification de votre compte, ce qui vous permettra de vous connecter, puis de la réactiver avec un autre appareil. La personne qui fera cela devra d'abord vérifier votre identité, si possible en signant votre requête avec une signature PGP que cet utilisateur (avec accès shell) pourra vérifier, en révélant une identité, ou en vérifiant la requête à travers une autre source hors e-mail (la plupart des utilisateurs peuvent réinitialiser leur mot de passe par e-mail, nous voulons nous assurer qu'une personne mal intentionnée ayant accès à votre e-mail ne puisse pas réinitialiser votre authentification à deux facteurs par la même occasion).
Quel est le protocole utilisé pour cette authentification à deux facteurs ?
Nous implémentons le protocole OATH, une forme spécifique de Mot de passe à usage unique basé sur le temps (Time-based One-time Password en anlais, ou TOTP).

Voir aussi