Commencer avec l'authentification à deux facteurs

L'« Authentication » est le processus pendant lequel vous prouvez numériquement qui vous êtes. Habituellement, votre identité est vérifiée grâce à votre nom d'utilisateur et votre mot de passe. Comme vous ne devez jamais (!) partager votre mot de passe avec qui que ce soit, vous êtes le seul à pouvoir fournir le mot de passe correspondant à votre identité numérique.

Les instructions concernant l'authentification à deux facteurs pour l'accès SSH se trouvent ci-dessous.

Au CERN, vous avez un mot de passe qui est attaché à votre compte CERN, et le portail de « Single Sign-On » est le point central pour l'authentification. Si un autre site que le portail de « Single Sign-On » vous demande le mot de passe de votre compte CERN, signalez-le nous!

L'authentification par mot de passe convient à de nombreux utilisateurs qui visitent les services informatiques du CERN pour leurs tâches quotidiennes (par exemple, assister à des événements Indico, accéder à le "CERN Market"). Pour des utilisateurs CERN avec d'accès au systèmes critiques, néanmoins, un « simple » mot de passe peut ne pas être suffisant pour la protection de leur compte informatique, les mots de passe étant souvent volés ou perdus. Ceci, par conséquent, présente un risque de sécurité essentiel. L'« authentification à deux facteurs » l'améliore et exige non seulement que vous connaîssiez quelque-chose (un mot de passe), mais aussi que vous possédiez un appareil physique (clef physique, téléphone, ...). Les utilisateurs des services suivants doivent activer l'authentification à deux facteurs pour eux-mêmes :

  • Des applications critiques utilisées à l'intérieur du Département Finance du CERN, ainsi que dans l'équipe de Sécurité Informatique du CERN;
  • Toute passerelle d'accès distant utilisée pour accéder au Réseau Technique;
  • L'accès à des services sensibles utilisés par l'infrastructure interne du département IT du CERN.

Cette liste augmentera au fil du temps à mesure que de plus en plus de services appliquent l'authentification à deux facteurs. En fin de compte, tout utilisateur du CERN dont le compte pourrait être abusé pour infliger des dommages importants au CERN devrait voir son compte protégé à l'aide de l'authentification à deux facteurs. Même si vous n'accédez pas à l'un de ces services critiques, vous pouvez l'activer vous-même comme mesure de sécurité supplémentaire !

Le CERN Single Sign-On offre deux options pour enregistrer un deuxième facteur :

  • Une application à mot de passe unique s'exécutant sur votre smartphone (par exemple andOTP, FreeOTP Authenticator, Google Authenticator, ...);
  • Un générateur de jetons WebAuthn, tel qu'une Yubikey ou certains lecteurs d'empreintes digitales modernes.

C'est essentiel que votre deuxième facteur d'authentification soit physiquement séparé de vos principaux appareils de travail. C'est pourquoi les mécanismes d'authentification à deux facteurs sont soit des jetons physiques (par exemple une carte physique avec une puce, un Yubikey), soit une application sur votre smartphone (par exemple une application bancaire dédiée, ou une application générant des mots de passe à usage unique / OTP.

Obtenir, gérer et signaler la perte d'un second facteur

Voir ce article dans ServiceNow: KB0006590. Pour des questions plus générales, veuillez consulter notre FAQ.

Prérequis pour utiliser "WebAuth" sur des systèmes Linux

Pour que votre navigateur Web puisse d'intéragir avec votre Yubikey ou clef WebAuth, il a besoin d'être autorisé à cela. Malheureusement, le support générique des clefs WebAuth n'a été rajouté à systemd/udev que très récemment. Certaines distributions (par exemple Fedora ou Ubuntu) ont d'autres solutions équivalentes en place, mais ce n'est pas encore le cas pour toutes les distributions.

CERN Centos 7

Un packet a été rajouté à CERN Centos 7 (il est aussi disponible via EPEL): u2f-hidraw-policy. Une fois ce packet installé, vous aurez simplement besoin de déconnecter et reconnecter votre clef pour que les nouvelles authorisations soient appliquées.

L'authentification à deux facteurs pour SSH

L'authentification à deux facteurs marche aussi pour protèger des serveurs Linux par SSH! Si vous êtes un administrateur système intéressé pour l'activer, incluez notre module Puppet multifactor ou utilisez directement notre code accessible depuis Github.

Les mêmes tokens (Time based One Time Passwords, TOTP, utilisant une application d'authentification) et Yubikeys sont supportés pour l'accès SSH. Les codes TOTP générés par votre application d'authentification configurée sur le SSO peuvent également être utilisés directement pour l'accès SSH.

Pour utiliser votre Yubikey pour l'accès SSH, vous devez enregistrer votre clé sur ce site web dédié. Alors que les Yubikey fournis par le CERN peuvent être directement enregistrés, l'utilisation de votre Yubikey privé pour SSH nécessite une configuration personnalisée et l'envoi des secrets à l'équipe de sécurité informatique.

Support

Une série de questions et leurs réponses sont publiées sur cette FAQ. Pour vos questions additionnelles ou de l'aide, veuillez contactez le CERN Service Desk via Service.Desk@cern.ch.