À propos de l'authentification à deux facteurs pour un compte
Kaspersky Security Center Linux propose une authentification à deux facteurs aux utilisateurs de Kaspersky Security Center Web Console. L'authentification à deux facteurs repose sur la norme RFC 6238 (TOTP : algorithme de mot de passe à usage unique basé sur le temps).
Chaque fois que vous vous connectez à Kaspersky Security Center Web Console, vous saisissez votre nom d'utilisateur et votre mot de passe, ainsi qu'un code de sécurité à usage unique. Pour recevoir un code de sécurité à usage unique, vous devez disposer d'une application d'authentification sur votre appareil mobile ou votre ordinateur.
Tout logiciel d'authentification prenant en charge l'algorithme TOTP (algorithme de mot de passe unique calculé en fonction du temps) peut être utilisé comme application d'authentification, par exemple, Google Authenticator. Pour générer le code de sécurité à usage unique, vous devez synchroniser l'heure définie sur l'appareil avec l'application d'authentification et l'heure définie sur l'appareil du Serveur d'administration. Pour une meilleure précision, nous vous recommandons d'utiliser les mêmes serveurs NTP dans toute votre infrastructure.
Pour vérifier si Kaspersky Security Center Linux prend en charge l'application d'authentification que vous souhaitez utiliser, essayez de configurer l'authentification à deux facteurs avec cette application d'authentification.
L'une des étapes propose d'indiquer le code de sécurité à usage unique généré par l'application d'authentification. Si l'opération réussit, Kaspersky Security Center Linux prend en charge l'authentificateur sélectionné.
Génération d'un code secret à l'aide d'une application d'authentification
Une application d'authentification génère le code de sécurité comme suit :
- Le Serveur d'administration génère une clé secrète spéciale et un code QR.
- Vous transmettez la clé secrète ou le code QR généré à l'application d'authentification.
- L'application d'authentification génère un code de sécurité à usage unique que vous transmettez à la fenêtre d'authentification du Serveur d'administration.
Un code de sécurité comporte un identifiant que l'on appelle nom de l'émetteur. Le nom de l'émetteur du code de sécurité est utilisé comme identifiant du Serveur d'administration dans l'application d'authentification. Vous pouvez modifier le nom de l'émetteur du code de sécurité. Le nom par défaut de l'émetteur du code de sécurité est identique au nom du Serveur d'administration. Un nouveau nom d'émetteur de code de sécurité est attribué au Serveur d'administration après la connexion suivante. Un code de sécurité est à usage unique et valide jusqu'à 30 secondes (la durée exacte peut varier).
Nous vous recommandons vivement d'enregistrer la clé secrète (ou le code QR) et de le conserver en lieu sûr. Elle vous aidera à restaurer l'accès à Kaspersky Security Center Web Console au cas où vous perdriez l'accès à l'appareil sur lequel est installée l'application d'authentification.
L'authentification à deux facteurs présente les caractéristiques suivantes :
- Depuis la version 16.1 du Serveur d'administration, l'authentification à deux facteurs est activée automatiquement, et l'option permettant de configurer l'authentification à deux facteurs lors de la connexion est désactivée par défaut. La configuration de l'authentification à deux facteurs lors de la connexion est disponible uniquement pour les utilisateurs figurant dans la liste d'autorisation pour l'authentification à deux facteurs.
- Un utilisateur peut configurer l'authentification à deux facteurs uniquement pour son propre compte.
- Un utilisateur peut exclure des comptes de l'authentification à deux facteurs. Cela peut être nécessaire pour les comptes d'intégration qui ne peuvent pas recevoir de code de sécurité à usage unique pour l'authentification. Les comptes d'intégration sont utilisés pour exécuter des scripts via OpenAPI.
- Pour régénérer une clé secrète d'authentification à deux facteurs, l'utilisateur doit réinitialiser la clé secrète pour son propre compte.
- Pour réinitialiser ou supprimer une clé secrète d'authentification à deux facteurs pour le compte d'un autre utilisateur, l'utilisateur doit posséder un compte sur lequel l'authentification à deux facteurs est configurée et disposant du droit Modifier les ACL des objets dans la zone fonctionnelle Fonctions générales : Autorisations d'utilisateur.
- Pour exclure des comptes d'autres utilisateurs de l'authentification à deux facteurs ou pour modifier la liste d'autorisation pour l'authentification à deux facteurs, l'utilisateur doit posséder un compte sur lequel l'authentification à deux facteurs est configurée et disposant du droit Modifier les ACL des objets dans la zone fonctionnelle Fonctions générales : Autorisations d'utilisateur.
- L'authentification à deux facteurs est activée automatiquement uniquement pour le Serveur d'administration version 16.1. Si d'autres Serveurs d'administration principaux ou secondaires exécutent la version 16 ou une version antérieure, leurs paramètres d'authentification à deux facteurs resteront inchangés.
- Un Serveur d'administration virtuel hérite les paramètres de l'authentification à deux facteurs du Serveur d'administration physique, de sorte que, si l'authentification à deux facteurs est activée sur le Serveur d'administration physique, elle est également activée sur un Serveur d'administration virtuel. Vous ne pouvez pas configurer les paramètres de l'authentification à deux facteurs sur un Serveur d'administration virtuel.
- Pour que l'authentification à deux facteurs fonctionne correctement, vous devez mettre à niveau le Serveur d'administration et la Web Console vers la version 16.1 ou ultérieure.
Pour garantir une protection complète à l'aide de l'authentification à deux facteurs, il est nécessaire de sécuriser non seulement le Serveur d'administration, mais également l'appareil sur lequel il est installé. Pour ce faire, tenez compte des recommandations du Guide de renforcement.
Haut de page