Bonjour,
après un petit temps d'utilisation, il y a une idée qui est arrivée pour
augmenter la sécurité.
Est-ce qu'il serait possible de rajouter une option sur les catégories pour
rendre l'authentification à double facteur obligatoire ?
https://xxxxx.paheko.cloud/admin/config/categories/
Voici un exemple sur le cas d'utilisation :
Des groupes ont accès à la gestion des membres, typiquement un en lecture
seule et un autre pour la modification ; or, il s'agit d'un accès à des
informations sensibles dont les coordonnés des membres.
L'idée est que les membres de ces catégories doivent obligatoirement avoir
l'utilisation de la double authentification.
Je sais, ce n'est une solution miracle, mais être sûr que les personnes
accédant à ces infos aient une vérification un peu plus importante...
Aurel
> Est-ce qu'il serait possible de rajouter une option sur les
> catégories pour rendre l'authentification à double facteur
> obligatoire ? https://xxxxx.paheko.cloud/admin/config/categories/
C'est une idée, mais : actuellement si je fait ça, et si tu as un membre
dans cette catégorie qui n'a pas d'OTP, il ne pourra pas se connecter
pour configurer son OTP…
Ou alors il faudrait l'obliger à configurer son OTP à la connexion,
mais du coup ça veut dire développer un nouveau statut de connexion
"connecté, mais sans aucun droits, juste le droit de configurer l'OTP.
Dans ce cas ça veut dire réécrire une bonne partie de la gestion des
connexions utilisateurs dans Paheko : plusieurs jours/semaines de
boulot.
Du coup je note comme idée pour plus tard, si je fait cette refonte
un jour, mais ça sera pas avant longtemps je pense :)
En attendant je te suggère ceci : tu ne met dans cette catégorie que
des membres qui ont déjà configuré l'OTP, tu peux voir cette info dans
leur fiche membre, il y aura marqué "avec second facteur" en dessous de
mot de passe.
D'ailleurs en y réfléchissant, si tu avais un membre dans un groupe
avec OTP obligatoire, qui n'a pas d'OTP, et qui doit donc le configurer
à la première connexion, et bien cela reviendrais à avoir un membre
sans OTP du tout, car ça pourrais être une personne malveillante qui se
connecte la première fois et configure l'OTP.
Du coup le fait de "valider" toi-même manuellement chaque membre est
probablement la meilleure manière de faire : tu peux vérifier avec eux
via un autre canal (téléphone / de visu par exemple) que c'est bien le
membre qui a configuré l'OTP.
Bonne journée :)