LA SOLUTION EXER OTP

OTP

Les mots de passes sont omniprésents dans nos vies professionnelles et personnelles, grâce à eux, nous pouvons prouver notre identité et ainsi accéder à des espaces privés (messageries, partage de fichiers, VPN, bureau à distance…).

Malheureusement, c’est souvent ce même mot de passe qui est le talon d’Achille de nos systèmes d’informations : trop facile à partager et pas assez complexe, il est aujourd’hui la cause de nombreux piratages et autres vols de données (ransomware).

C’est pourquoi EXER a développé pour ses revendeurs et intégrateurs une solution d’authentification forte de type « OTP » (One Time Password, ou mot de passe à usage unique). Le principe est simple, lorsque l’utilisateur se connecte avec son VPN ou à son portail SSL, il s’authentifie avec un mot de passe unique (généré par son smartphone ou une application), dont l’usage est limité dans le temps

Le mot de passe généré est de type« TOTP » (Time-based One-time Password), décrit dans la RFC 6238.

Pour chaque utilisateur, un secret maître est généré, de ce dernier découleront les mots de passe à usage unique. Le secret est généralement transmis sous forme de QRcode

Basée sur le protocole RADIUS, la solution a été validée avec les parefeu Stormshield, que ce soit au niveau VPN (SSL ou IPSec Xauth) ou au niveau du portail d’authentification.

Ceci permet donc de sécuriser les accès à distance, que ce soit via VPN ou via ouverture de port sécurisée (via authentification préalable).

Exemple d’usage pour un accès bureau à distance sécurisé 

L’utilisateur se connecte depuis son navigateur sur la page d’authentification du pare-feu. 

Il saisit son login et le code OTP 

Le code OTP peut être généré par 3 types de supports : 

L’application pour smartphone

La carte NFC

Le porte clef NFC

Désormais authentifié, le client peut lancer sa connexion bureau à distance : Il s’authentifie alors avec son mot de passe Windows «classique» et peut travailler normalement.

Ici nous avons bien deux facteurs d’authentification : l’OTP sur le portail, puis le mot de passe Windows pour l’accès RDP

Il est toutefois possible de combiner dès la première étape, l’OTP avec un mot de passe statique, afin d’augmenter encore le niveau de sécurité (c’est préconisé dans le cadre d’un VPN, où il n’y a qu’une seule saisie du mot de passe) 

settings 2

Les nouveautés de la version 3.0

  • Affichage de l’heure de dernière connexion pour chaque utilisateur
  • Nouveau rôle « Opérateur » avec les droits restreints (lecture seule)
  • Personnalisation possible du contenu des e-mails et de la page de récupération du QR Code
  • Bouton pour remplacer la licence et réplication automatique du quota au niveau de l’entreprise
  • Application des derniers correctifs Debian LTS