Labomedia Ressources

Outils pour utilisateurs

Outils du site

Piste :
utiliser_la_double_authentificatino_totp_sur_une_session_gnome

Ceci est une ancienne révision du document !

Table des matières

Comment sécuriser une session GNOME avec une double authentification par TOTP ?

Pour protéger un ordinateur d'un accès indélicat quand on est sorti 5 minutes, un mot de passe est indispensable.

Mais le mot de passe de session peut avoir été compromis, par exemple espionné visuellement.

Pour s'en protéger, on peut donc utiliser une double authentification (2FA - Two Factor Authentification), via un code/jeton à 6 chiffres qui change toutes les 30 secondes (TOTP- Time based One Time Password).

Installer une application de gestion des jetons

Il s'agit d'installer sur un autre appareil que l'ordinateur en question une application qui gère les jetons utilisés pour déverrouiller l'ordinateur.

Ainsi il faudra disposer des deux appareils pour déverrouiller l'ordinateur.

Comme une application de ce type doit IMPÉRATIVEMENT être libre et maintenue (conditions nécessaire à sa sécurité), et idéalement disponible sur un magasin d'applications libres, on utilisera Aegis Authenticator, disponible sur F-droid

Cette application va stocker les clefs secrètes permettant de générer les jetons. Elle stockera ces clefs dans un fichier chiffré à l'aide d'un bon mot de passe, déchiffrable avec votre code PIN ou votre empreinte digitale par exemple.

Installer un module PAM Google Authenticator sur l'ordinateur

Votre Linux utilise probablement PAM (Pluggable Authentication Modules) pour gérer ses différents schémas d'authentification. Il s'agit de lui ajouter un module supportant les TOTP. Actuellement il semble n'y avoir qu'une implémentation aboutie, élaborée par Google, mais qui repose sur le standard TOTP RFC 6238.

Dans un terminal, tapez : 

sudo apt install libpam-google-authenticator

puis suivez les instructions (plusieurs options intéressantes, en anglais).

Lorsque le QR Code (contenant la clef secrète qui permet de générer les jetons TOTP) apparaît, scannez-le avec votre application mobile de gestion de jetons.

Vous avez désormais dans votre application mobile un TOTP de 6 chiffres qui changent toutes les 30 secondes.

Ajouter PAM Google Authenticator à l'ouverture de session GNOME

Il s'agit de configurer GDM (Gnome Display Manager) afin qu'il demande, en plus du mot de passe de session, le TOTP configuré dans votre application de gestion de jetons.

ATTENTION ! Si vous faites cela, vous ne pourrez plus vous connecter à votre session sans votre application de gestion de jetons !

Dans un terminal, tapez : 

echo 'auth required pam_google_authenticator.so' | sudo tee -a /etc/pam.d/gdm-password

Fermez votre session et reconnectez-vous.

Et voilà ! Après avoir tapé votre mot de passe de session, un code de vérification vous est demandé !

utiliser_la_double_authentificatino_totp_sur_une_session_gnome.1660135313.txt.gz · Dernière modification : 2022/08/10 12:41 de manumerique