Authentification à deux facteurs CertCentral

Vous souhaitez ajouter une couche de sécurité supplémentaire à CertCentral ? Nous vous recommandons de mettre en œuvre l'authentification à deux facteurs pour votre compte. L'authentification à deux facteurs vous permet d’exiger deux méthodes de vérification de l’identité avant de pouvoir se connecter à CertCentral pour y acheter des certificats ou accéder aux informations du compte.

En exigeant deux modes d’identifications, vous empêchez une personne malveillante qui se serait procuré un mot de passe d'accéder directement au compte correspondant. Pourquoi ? Sans la deuxième forme d’identification obligatoire, personne ne peut se connecter au compte.

Quelque chose que vous savez

Par défaut, CertCentral impose une forme d'authentification : quelque chose que vous êtes le seul à savoir. Chaque utilisateur doit créer des identifiants – nom d'utilisateur et mot de passe – pour son compte CertCentral avant de pouvoir se connecter. Ces identifiants sont systématiquement demandés, que vous activiez ou non l'authentification à deux facteurs.

Cependant, avec l’identification à deux facteurs, la saisie de ces identifiants n’est que la première des étapes permettant d'accéder à votre compte CertCentral.

Quelque chose que vous possédez

CertCentral vous permet d’exiger une deuxième forme d’authentification pour qu'une personne puisse se connecter : quelque chose que vous êtes le seul à posséder. Lorsque vous mettez en œuvre l’authentification à deux facteurs, cette "chose que vous possédez" peut être soit un certificat client installé sur un appareil (par exemple votre ordinateur portable ou votre téléphone), soit un mot de passe à usage unique généré à l'aide d'une application ou d'un appareil générateur de mots de passe à usage unique (OTP).

Certificat client installé sur un appareil

Le certificat client vous permet de contrôler les appareils depuis lesquels un utilisateur peut accéder à son compte. Les utilisateurs ne peuvent accéder à leur compte que depuis un appareil sur lequel le certificat client est installé. Les certificats clients peuvent également nécessiter qu'un utilisateur utilise un navigateur particulier pour accéder à son compte.

  • Les systèmes d’exploitation Windows installent le certificat client dans leur Magasin de certificats. Microsoft Edge, Chrome et Internet Explorer peuvent accéder à ces certificats.
  • macOS installe le certificat client dans son Magasin de certificats. Safari et Chrome peuvent accéder à ces certificats.
  • Firefox installe le certificat client dans son Magasin de certificats. Seul Firefox peut accéder à ces certificats sous Windows et macOS.

Mot de passe à usage unique généré depuis un appareil ou une application OTP.

Une application OTP installée sur un appareil mobile permet aux utilisateurs de se connecter depuis n’importe quel appareil. Dans la mesure où l'authentification à deux facteurs implémente un protocole de mot de passe à usage unique synchronisé (Time-based One-Time Password, ou TOTP), vous devez utiliser une application mobile compatible avec le protocole TOTP.

Le protocole TOTP prend en charge une variation basée sur le temps de l’algorithme de mot de passe à usage unique (OTP). Chaque fois qu’un OTP est généré, il ne peut être utilisé que pendant un court laps de temps. Après son expiration, l’OTP ne peut plus être réutilisé. Les OTP à faible durée de vie améliorent la sécurité.

La plupart de applications d’OTP compatibles avec le protocole TOTP fonctionnent avec notre procédure. Nous avons testé les applications d’OTP suivantes :

  • Google Authenticator : Android, iPhone, Blackberry
  • Authy : Android, iPhone
  • Authenticator : Windows Phone
  • Duo Mobile : iPhone

Rubriques

Mettre en œuvre et utiliser l’authentification à deux facteurs