Le deuxième facteur d'authentification est une méthode d'authentification supplémentaire implémentée sur le site Web, permettant de s'authentifier sur l'interface Gandi. Il ne s'agit pas d'un remplacement de l'authentification par mot de passe que l'on connaît, mais d'un complément permettant de rendre plus compliqué le piratage d'un compte par un attaquant.
Pour activer la double authentification sur le site Web, commencez par vous rendre sur la page “Sécurité du compte” dans “Gestion de compte”:
Ensuite, en bas de page, dans la partie “Deuxième facteur d'authentification”, cliquez sur 'Activer' pour commencer la procédure d'activation.
Indiquez le mot de passe du compte Gandi ainsi qu'un numéro de téléphone de secours: (Le numéro de téléphone de secours demandé sera utile en cas de perte de la clé) :
Tapez votre clé d'authentification encodée en base 32 ou scannez le QRcode (recommandé) dans votre application TOTP.
Cliquez sur Valider pour continuer
Indiquez maintenant votre mot de passe Gandi dans le premier champs, puis le jeton de connexion (token) de 6 chiffres fourni par votre application TOTP dans le champs “Jeton de connexion” sur l'interface, puis validez. Attention, ce jeton est valide pendant 30 secondes seulement.
Une fois ceci fait, le deuxième facteur d'authentification sera activé pour le compte. Cette vérification permet de s'assurer que vous savez vous servir de cette fonctionnalité avant l'activation et ainsi éviter que vous soyez bloqué après activation.
On génère une première clé chez nous, puis on indique cette clé sur un logiciel à votre disposition, disons un smartphone avec une application spécifique pour TOTP installée (voir ci-dessous pour une liste d'applications TOTP).
Une fois la clé indiqué sur l'application, il sera possible de générer un jeton unique. Ce jeton sera généré grâce à un algorithme, prenant en compte la clé indiquée au préalable, ainsi que le temps.
Le jeton qui sera alors affiché sur le smartphone pourra être renseigné sur l'interface Gandi après l'authentification par mot de passe. Du coté du serveur, la clé étant présente également, celui-ci sera capable de vérifier le jeton, qui restera valide durant 30 secondes.
$ oathtool --base32 --totp "ZHZ7TIQZUZWSF6ILBTHKO6DN" 452945