Nouveau mécanisme 2FA depuis 4.2

Kyoshi · Mars 21, 2022, 9:07

Hello,

Je trouve que l’on perd des points en terme de sécurité.

Si l’on a une authentification double facteur, nous avions avant les champs : login/pwd/DF.
Pour se loguer, il fallait donc saisir un bon mot de passe et le bon code de double auth.
Si l’un des champs était erroné, cela ne passait pas.

Maintenant, il faut d’abord saisir le couple login/pwd, validé pour ensuite saisir le code de double auth.

Donc il devient facile de vérifier si le mot de passe d’un utilisateur est bon ou pas sans saisir la double auth. Alors qu’avant, c’était impossible sans le code de double auth.

Mips · Mars 21, 2022, 9:25

Bonjour,

Pas très clair de savoir de quoi vous parlez lorsque vous postez dans un sujet de présentation générique de la sécu 4.2… celle-ci ne se résume pas à l’authentification à deux facteurs => sujet déplacé.

Pour revenir sur le sujet, c’est très discutable…

si on le demande systématiquement alors le problème suivant sera pire car on pourra déterminer si un user existe ou pas (pour peu que le 2FA soit actif sur cet utilisateur) selon que le 2FA soit demandé ou pas et cela même sans connaitre le mot de passe => on divulguera plus vite de l’information

Si on ne le demande que lorsque le mot de passe est correcte, on est dans un cas où l’on peut partiellement faire confiance à l’utilisateur et donc demander la deuxième auth à ce moment a du sens…

Dans votre logique il faudrait demander les 3 infos systématiquement (user/pswd/2fa) même lorsque le 2fa n’est pas actif et tout valider et vérifier en un bloc et à l’utilisateur de savoir ce qu’il doit remplir ou pas sur sa page de login, on perd en expérience utilisateur => pas très intuitif de présenter les 3 champs et de laisser le user se débrouiller mais cela se tient en terme de sécurité…
le choix final doit être fait en fonction du risque et de la probabilité que quelqu’un soit vraiment intéressé par s’introduire sur un système comme jeedom

Brahms · Mars 21, 2022, 12:34

Bonjour,

J’avais aussi remarqué ce changement, pour essayer d’être clair avant la 4.2 quand j’arrivais sur ma page de login depuis un navigateur internet généralement chrome, cela m’affiché le Login et MDP mais dés lors que je mettais mon login il me proposais la 2AF alors que maintenant je dois mettre Login et MDP PUIS validé et ensuite il me propose la 2AF du coup ça fait une petite manip supplémentaire.

ngrataloup · Mars 21, 2022, 12:48

Ca me parait être le principe de la 2FA la plupart du temps. Si le premier facteur est OK, on demande le 2nd facteur.
Ex : pour votre carte bleue, on ne vous demande pas de mettre la carte (ou le numéro de carte) et le code en même temps. Vous mettez la carte (facteur de possession, quelque chose que vous avez), puis une fois la carte validée, on vous demande le PIN (facture de connaissance, quelque chose que vous connaissez).

sebfar · Mars 21, 2022, 12:50

Hello pour ajouter ma pierre à l’édifice, j’ai plusieurs sites avec du 2FA, et cela fonctionne comme jeedom … d’abord user/mdp et si ok affichage du champ pour le code 2FA

Kyoshi · Mars 21, 2022, 2:00

Hello,

Ben non… Juste faire comme avant. Lorsque l’on saisit le login, un troisième champs apparaît automatiquement avant la phase de validation.

Mips · Mars 21, 2022, 2:08

Relisez mon message, vous n’avez pas compris:

Car si on fait cela alors il suffit d’essayer autant de combinaison que l’on veut et on trouve tous les utilisateurs du système

Renseignez-vous sur ce qu’est « user enumeration »: Authentication - OWASP Cheat Sheet Series

Kyoshi · Mars 21, 2022, 4:04

Oui, je suis d’accord. Sur ce point, c’est effectivement mieux. Encore faudrait-il systématiquement verrouiller l’utilisateur « admin ».

Nicoca-ine · Mars 21, 2022, 8:46

Bonjour

Déjà l’admin ne devrait être autorisé que depuis l’adresse locale de jeedom.

Et seulement si c’est nécessaire, créer un utilisateur avec un nom différent avec droits admin et avec 2FA pour l’accès depuis l’adresse externe.

Et toujours des mdp fort!!

Petit conseil pour gérer les mdp forts impossibles à retenir : keepass. (opensource)

sebfar · Mars 22, 2022, 5:50

Je confirme pour Keepass qui est même recommandé par l’ANSSI

Bad · Juin 3, 2022, 3:22

Hello,

On pourrait imaginer le comportement opposé :

pour tous les utilisateurs qui n’ont pas de 2FA et le bon mdp,
on affiche pas le champ (car on login).
pour tous les utilisateurs inexistants, ceux qui ont le 2FA ou qui ont un mauvais mot de passe,
on l’affiche

Ce serait beaucoup plus safe.

Bref, en tout cas, le code qui s’occupe de cette partie 2FA est ici :

github.com

jeedom/core/blob/e79518a8a70501a2f31b3d7b0f1f6ffda9ac839b/core/ajax/user.ajax.php#L50-L56


      
          			$user = user::connect(init('username'), init('password'));
          			if (is_object($user) && network::getUserLocation() != 'internal' && $user->getOptions('twoFactorAuthentification', 0) == 1 && $user->getOptions('twoFactorAuthentificationSecret') != '' && init('twoFactorCode') == '') {
          				throw new Exception('Double authentification requise', -32012);
          			}
          			if (!login(init('username'), init('password'), init('twoFactorCode'))) {
          				throw new Exception('Mot de passe ou nom d\'utilisateur incorrect');
          			}

Ah oui et il y a ça aussi :

github.com

jeedom/core/blob/59b0c7910bef534bc32ad340a82fff09af65a2a0/core/class/user.class.php#L277-L282


      
          	public static function failedLogin() {
          		@session_start();
          		$_SESSION['failed_count'] = (isset($_SESSION['failed_count'])) ? $_SESSION['failed_count'] + 1 : 1;
          		$_SESSION['failed_datetime'] = strtotime('now');
          		@session_write_close();
          	}

Si trop de mauvaise demande de login le user est ban par Jeedom de toute façon.

Bad