Authentification multi-facteur (MFA)
Découvrez tout sur l'authentification multi-facteur (MFA) et comment vous pouvez commencer à l'utiliser dès maintenant dans votre application.
Qu'est-ce que l'authentification multi-facteur ?
L'authentification multi-facteur (MFA) est une méthode d'identification des utilisateurs qui s'appuie sur la présentation de deux ou plusieurs étapes d'authentification séparées. L'authentification à deux facteurs (2FA) le type de MFA le plus couramment utilisé.
En général, l'authentification multi-facteur exige une combinaison d'une information que seul l'utilisateur connaît, quelque chose que l'utilisateur possède et parfois quelque chose que l'utilisateur est.
- Les facteurs de connaissance incluent les mots de passe, les codes PIN ou les questions secrètes.
- Les facteurs de possession incluent une carte d'accès, un téléphone ou une clé matérielle.
- Les facteurs d'inhérence sont des informations biométriques, qui incluent les empreintes digitales, le visage ou la voix de l'utilisateur.
Pourquoi l'authentification multi-facteur est-elle nécessaire ?
L'authentification multi-facteur joue un rôle déterminant pour renforcer la sécurité renforcée de vos systèmes critiques. Elle bloque les attaquants qui ne disposent que d'un seul de ces facteurs et qui souhaitent accéder à vos comptes. Par exemple, si votre mot de passe est volé, le deuxième facteur vous apporte une deuxième couche de protection.
Les couches MFA supplémentaires peuvent être activées dans des situations anormales ou spécifiques, telles que la connexion à partir d'un appareil ou lieu inconnu, ou dans une tranche horaire inhabituelle.
Options de l'authentification multi-facteur
Certaines des options multi-facteurs les plus utilisées incluent :
- Mot de passe à usage unique et durée de vie limitée (Time-based One-Time Password - TOTP) : Cette option génère un mot de passe à usage unique et temporaire en utilisant une clé secrète partagée et l'heure actuelle. Comme ces mots de passe ont une durée très courte (entre 30 et 60 secondes), ils nécessitent la synchronisation des horloges du serveur et du dispositif. Par exemple : Google Authenticator.
- Vérification par SMS : Cette méthode nécessite un téléphone portable, que l'utilisateur a toujours sur lui. Par conséquent, lorsque l'utilisateur tente de se connecter, un SMS est envoyé à son numéro de téléphone enregistré, pour lui présenter un code à usage unique qui lui permettra de confirmer son identité. Par exemple : Duo.
- Jeton matériel : Un jeton matériel est un petit dispositif qui peut être connecté (ex. une clé USB) ou déconnecté (appareil avec un écran intégré). Un jeton matériel contient la clé secrète partagée existante sur le serveur et sert à générer le mot de passe. Par exemple : Yubikey.
Facile à mettre en œuvre avec Auth0
Auth0 vous permet de mettre en place un système MFA en quelques minutes ! Vous pouvez utiliser des fournisseurs prêts à l'emploi, ou intégrer facilement tout autre fournisseur grâce à l'extensibilité d'Auth0. Pour mettre en œuvre rapidement la MFA, exécutez les étapes suivantes :
- Dans le tableau de bord d'Auth0, cliquez sur l'option Multifactor Auth.
- Cliquez sur le bouton Enable Multifactor Auth pour activer la fonction.
- Sélectionnez l'un des fournisseurs intégrés (Google Authenticator, Duo, entre autres) ou créez le vôtre en ajoutant quelques lignes de code sur la plateforme extensible Auth0.
- Personnalisez le fournisseur. Il vous suffit de remplacer le caractère générique par votre ID CLIENT et vous pouvez commencer.
Mais les possibilités ne s'arrêtent pas là. Vous pouvez créer vos propres règles pour définir la date et l'heure du déclenchement de la MFA.
Multi-facteur adaptatif et contextuel
La fonction multi-facteur adaptatif et contextuel permet de mettre en œuvre la MFA, ou des couches d'authentification supplémentaires, en spécifiant différentes conditions, par exemple l'emplacement géographique, l'heure du jour/ la semaine, le type de réseau, les domaines personnalisés ou certaines IP, ou toute condition arbitraire qui peut être exprimée en code sur la plateforme Auth0.
Par défaut, l'authentification multi-facteur n'est demandée qu'une fois par mois. Mais vous pouvez choisir qu'elle soit exécutée à chaque demande de connexion ou même définir vos propres règles pour la déclencher.
Vous pouvez configurer des règles, par exemple en cas d'accès à des applications critiques depuis l'extérieur de l'intranet de votre entreprise, depuis un autre appareil ou depuis un nouveau site.
Fournisseurs MFA personnalisés
Si vous utilisez un autre fournisseur MFA, ou si vous voulez créer le vôtre, vous pouvez utiliser le protocole redirect
dans Auth0.
Pour utiliser un fournisseur MFA personnalisé, vous pouvez interrompre la transaction d'authentification et rediriger l'utilisateur vers une URL arbitraire où un facteur d'authentification supplémentaire peut se déclencher. Une fois cette opération terminée (avec succès ou non), la transaction peut alors reprendre dans Auth0, avec la suite du traitement. Le code suivant montre la simplicité de cette opération.
function(user, context, callback) {
if (condition() && context.protocol !== 'redirect') {
context.redirect = {
url: 'https://your_custom_mfa'
};
}
if (context.protocol === 'redirect') {
//TODO: handle the result of the MFA step
}
callback(null, user, context);
}
Conformité aux normes
Nous sommes conformes aux normes HIPAA et SOC2. Vous avez donc la certitude que nous respectons toutes les bonnes pratiques de la gestion des identités. En outre, si vous avez besoin d'un niveau de sécurité supplémentaire, vous pouvez activer des politiques avancées, telles que l'authentification multi-facteur, les politiques de configuration des mots de passe, la protection contre les attaques par force brute et bien plus encore, en un seul clic !
Inscription gratuite
Commencez à construire et à sécuriser vos applis dès aujourd'hui avec la plateforme d'identité Auth0.