Voir les détails de l’anomalie
| Identifiant | Projet | Catégorie | Visibilité | Date de soumission | Dernière mise à jour |
|---|---|---|---|---|---|
| 0002161 | NOALYSS | Improve Use | public | 2022-03-30 15:09 | 2022-03-30 15:09 |
| Rapporteur | Marca | Affecté à | |||
| Priorité | normale | Sévérité | mineur | Reproductibilité | toujours |
| État | nouveau | Résolution | ouvert | ||
| Version du produit | 9.0.2.4 | ||||
| Résumé | 0002161: Sécurité renforcée en 2 étapes, explorateur internet de confiance | ||||
| Description | Une authentification à 2 niveaux : D’abord devoir faire une authentification du PC/browser une fois. Ensuite de la session avec simplement le mot de passe sur un environnement sécurisé. A noter que beaucoup de logiciel comptable ont des environnements sécurisés (quelque fois lourds, d’ailleurs) donc, il me semble que cela pourrait être intéressant d’une manière large. Pratiquement, je suggère pour sécuriser l’environnement, les étapes suivantes : L’administrateur génère un code temporaire à utiliser la première fois par l’utilisateur. A la première connexion par l’utilisateur avec ce code temporaire ou à la demande de l’utilisateur, Noalyss génère 10 codes de 6 lettres/chiffres aléatoires qu’elle conserve en mémoire (en écrasant les 10 précédents ou ceux restants). L’utilisateur imprime cette liste (fichier texte) et doit quitter Noalyss. En se connectant la fois suivante, l’utilisateur obtient un écran tel que celui-ci : Entrez votre code de sécurité, à l’aide des codes sauvegardés Code à usage unique □ Faire confiance à ce navigateur sur cet ordinateur L’utilisateur utilise un de ces codes, Noalyss efface le code utilisé et prévient dès que le nombre de codes restant disponible est au moins égal à 2 pour que l’utilisateur génère 10 nouveaux codes (à sauvegarder). L’utilisateur détermine si la combinaison machine/browser est sécurisée ou non (ce qui nécessitera l’utilisation d’un nouveau code à usage unique à la connexion suivante) . Si la machine est sécurisée, le mot de passe suffit pour se connecter sur la machine/browser (en particulier, le smartphone) Pratiquement, lors de l'authentification de 1er niveau, on autorise la machine et le browser en sauvant un cookie, je suppose. Tant que ce cookie n'est pas effacé (en effaçant l'historique, par exemple) ou qu'il n'existe pas (on change de browser ou de machine), le mot de passe est suffisant, donc pas besoin de faire une authentification "lourde" et donc le user + mot de passe "normal" sont suffisant sans plus. In fine l'authentification du couple browser/machine n'est pas fréquente du tout. Ce système est utilisé par le Groups (secrétariat social) et cela fait plus de 2 ans que j'ai sauvé les 10 codes uniques la première fois dont j'ai utilisé 4 codes (sur 2 PC différents et j'ai effacé l'historique 2 fois sur l'un deux, je suppose). Cette authentification de 1er niveau est rare somme toute. > Je vois plusieurs problèmes à cette méthode d'authentification : > > 1°) l'utilisateur n'aura pas forcément sa liste imprimée avec lui, surtout s'il est au restaurant, > 2°) s'il l'a perdue , il faudrait imaginer un mécanisme pour en faire une autre, > 3°) il faudra qu'il l'imprime impérativement, si à ce moment , pour une raison imprévue il ne peut pas, que faire ? > 4°) à un moment ou l'autre, il va se retrouver avec plusieurs listes et s'il manque de discipline ... > > Alors pour simplifier ces différents points , j'aimerais plutôt une solution que certaines banques ont, soit , > a) réception d'un SMS avec un code , simple et pratique, et le gsm jouera le rôle de l'appareil qui confirmera l'authentification, > b) réception d'un email avec un code , même concept mais celui-là est gratuit. Cependant au resto, il faudra pouvoir consulter sa boite aux lettres. > c) un email pour avertir d'une connexion , > > Les points a, b , c peuvent être mis utilisés ensemble, seul le point a) est payant , puisqu'il faudrait passer par un gateway (10c par login /SMS), > ce qui en regardant ton audit de connexion , ferait 11.5€ /mois ( moyenne sur les 3 dernières années). > > Donc je pense que l'on peut à un système avec email pour commencer, simple , gratuit et efficace , Pratiquement, lors de l'authentification de 1er niveau, on autorise la machine et le browser en sauvant un cookie, je suppose. Tant que ce cookie n'est pas effacé (en effaçant l'historique, par exemple) ou qu'il n'existe pas (on change de browser ou de machine), le mot de passe est suffisant, donc pas besoin de faire une authentification "lourde" et donc le user + mot de passe "normal" sont suffisant sans plus. In fine l'authentification du couple browser/machine n'est pas fréquente du tout. Ce système est utilisé par le Groups (secrétariat social) et cela fait plus de 2 ans que j'ai sauvé les 10 codes uniques la première fois dont j'ai utilisé 4 codes (sur 2 PC différents et j'ai effacé l'historique 2 fois sur l'un deux, je suppose). Cette authentification de 1er niveau est rare somme toute. J'ai pris le temps de réfléchir : le système de cookie pour les browser est en soi un trou de sécurité (aka authentification browser), il faut éviter que le vol de cookie fonctionne , c'est ainsi qu'on craquait hotmail , facebook ,... Le problème vient qu'on ne peut pas certifier à 100% que la personne se connectant est le propriétaire légitime du cookie, (voire du laptop); il y a aussi moyen de "bricoler" un cookie. Ici on le conjugue avec un mot de passe, ce qui est mieux qu'un mot de passe simple. L'autre aspect est que cela change pas mal de code pour l'authentification: ce qui est toujours un peu périlleux, le système actuel a déjà résisté avec succès à 2 équipes qui devaient le craquer , sans compter le nombre d'attaques que subi le site de démo et j'ai envie que cela ne change pas. Je ne suis pas parano mais j'ai vraiment veillé à la sécurité , avec un bon mot de passe, il n'est pas possible de se faire hacker sous Noalyss, on ne peut réellement rien prendre. Cela demande quand même pas mal de changements : si le cookie n'existe pas , il faut envoyer un code par email (sms) pour confirmer que ce browser est de confiance et donc permettre la connexion, si la personne a changé d'email sans avoir fait le nécessaire dans NOALYSS , alors il va se retrouver à la porte de sa propre maison :-) Faudrait faire une tâche dans mantis pour cela , cela prendra un peu de temps | ||||
| Balises | Aucune balise n’est attachée. | ||||
| Extension Noalyss | Aucun | ||||
| Date de modification | Nom d’utilisateur | Champ | Changement |
|---|---|---|---|
| 2022-03-30 15:09 | Marca | Nouvelle anomalie |
