Application mobile
Ce scénario se produit si l’utilisateur est configuré pour utiliser uniquement le mot de passe à usage unique (OTP) et/ou le Push, et que le client RADIUS est configuré pour utiliser les mots de passe à usage unique par application mobile (Mobile Application OTPs) et/ou l’authentification push par application mobile (Mobile Application Push).
L’utilisateur se connecte avec un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile Application) ou en approuvant une notification push générée sur son appareil mobile Android/iOS ou sa montre Android/Apple. Notez que l’application d’un code PIN est fortement recommandée dans cette configuration pour fournir un deuxième facteur d’authentification.
Application mobile (Mobile Application) protégée par code PIN Si la protection par code PIN est activée pour l’application mobile (Mobile Application) , elle permettra à un utilisateur de se connecter à l’aide d’un code PIN incorrect afin de protéger le code PIN correct contre les attaques par force brute. Par exemple, si un attaquant tente de se connecter à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, il peut se voir accorder l’accès , mais aucun mot de passe à usage unique (OTP) ne fonctionnera. Après avoir entré plusieurs mots de passe à usage unique (OTP) erronés, l’authentification à 2 facteurs (2FA) du compte utilisateur auquel appartient l’application mobile (Mobile Application) sera automatiquement verrouillée. Cela représente un problème mineur pour un utilisateur général : si l’utilisateur se connecte à l’application mobile (Mobile Application) à l’aide d’un code PIN incorrect, puis remplace le code PIN par un nouveau, tous les jetons inclus dans l’application mobile (Mobile Application) deviendront inutilisables. Il n’existe aucun moyen de réparer de tels jetons : la seule solution consiste à réapprovisionner des jetons dans l’application mobile (Mobile Application). Par conséquent, nous conseillons aux utilisateurs d’essayer un mot de passe à usage unique avant de modifier leur code PIN. Si le mot de passe à usage unique fonctionne, la modification du code PIN peut se faire en toute sécurité. |
Protocoles PPTP pris en charge : PAP, MSCHAPv2.
Compound Authentication Enforced
Ce scénario se produit si le client RADIUS est configuré pour utiliser l’authentification composée (Compound Authentication). Cette méthode d’authentification est limitée aux utilisateurs pour lesquels l’utilisation des mots de passe à usage unique par application mobile (Mobile Application OTPs) est configurée.
Dans ce scénario, un utilisateur se connecte au VPN en entrant son mot de passe Active Directory (AD), en plus d’un mot de passe à usage unique (OTP) généré par l’application mobile (Mobile Application). Par exemple, si le mot de passe AD est « motdepasse » et que le mot de passe à usage unique est « 123456 », l’utilisateur tape « motdepasse123456 » dans le champ de mot de passe de son client VPN.
Mots de passe à usage unique et espaces blancs Les mots de passe à usage unique (OTP) sont affichés dans l’application mobile avec un espace entre les 3e et 4e chiffres pour améliorer la lisibilité. Toutes les méthodes d’authentification, à l’exception de MS-CHAPv2, suppriment les espaces blancs dans les identifiants fournis, de sorte qu’un utilisateur peut inclure ou exclure des espaces sans affecter l’authentification. |