Leed icon indicating copy to clipboard operation
Leed copied to clipboard
verified publisher icon LeedRSS

OTP : finitions

Open Sbgodin opened this issue 9 years ago • 0 comments

Suite du ticket #432.

  • Donner presque tous les choix pour l'OTP :
    • nombre de chiffres : 6 (par défaut) ou 8
    • condensat : MD5, SHA1 (par défaut), SHA256 ou SHA512
    • intervalle : 30s (par défaut)
    • Le type est forcément TOTP (basé sur le temps) et jamais HOTP (basé sur un compteur). HOTP se justifie lorsque l'équipement n'est pas connecté à internet. Leed est nécessairement connecté. Ce réglage est spécifique à l'accès OTP.

Il faut que le secret OTP soit caché si possible, ainsi que le QR-code correspondant. Ils ne doivent apparaître ensemble que lorsque l'utilisateur l'a manifestement souhaité.

Le QR-code et le secret OTP doivent être synchronisés. Lorsqu'un utilisateur manuellement entre un secret OTP, le QR-code doit être invalidé. Peut-être qu'un clic dessus le synchroniserait.

Quand l'OTP a servi une fois, le code ne doit pas être ré-utilisable. Hypothétiquement, un attaquant pourrait faire du rejeu.

Contrôler la frappe et n'autoriser que les caractères Base 32, toutes les lettres et les chiffres de 2 à 7 dans le champ OTP.

Sbgodin avatar Feb 23 '17 19:02 Sbgodin