Activer une fonction MFA telle que Google Authenticator sur un système Linux ou MacOS

 

L’authentification forte à deux facteurs (MFA) est une solution commune pour sécuriser l’accès aux applications SaaS. Mais il est aussi parfois nécessaire de sécuriser via MFA l’accès aux systèmes qu’ils soient exécutés sur le LAN ou sur une plateforme IaaS telle que Azure ou AWS.

L’idée est ici par exemple de sécuriser via un facteur d’authentification supplémentaire (en plus d’un password) l’exécution d’une sessions SSH sur un système Linux. JumpCloud nous permet de faire cela sur les systèmes Linux et MacOS en utilisant un MFA totalement gratuit et très répendu, Google Authenticator. Je ferais prochainement un tutoriel pour implémenter cette fonction car pour moi ceci est une demande courante de nombreux clients que je rencontre.

En attendant, voici deux vidéos présentant cette fonction sur un système Linux et un système MacOS:

Vidéo sur Linux:

Vidéo sur MacOS:

HID ActivIdentity CMS Appliance

  Il y a quelques semaines, j’ai travaillé sur un projet de PKI et de CMS pour le compte d’une grande banque Suisse. A cette occasion, j’ai écrit une étude comparative entre les différents Card Management System du marché. Je ne peux malheureusement pas rendre publique cette étude.

Néanmoins, au travers de mes recherches, je suis tombé sur une vidéo extrêmement bien réalisée de la part de HID / ActivIdentity présentant leur offre de CMS sous forme d’appliance. La vidéo est vraiment très claire et permet d’avoir une idée précise du déploiement de ce type de solution. Par contre, juste un rappel, sur ce type de projet, la partie purement « technique » n’est pas la plus longue, la charge réside principalement dans la définition des niveaux de sécurité, des processus d’enrôlement, l’éducation des utilisateurs, etc…

En attendant de réaliser votre projet, je vous conseille la visualisation de cette vidéo:

 

Une application « Password Reset » pour FIM 2010 R2 sur Windows Phone 7.5

  Belle initiative de la part de Certified Security Solutions qui met à disposition une application Windows Phone 7.5 afin de permettre le reset de mot de password via la fonction proposée par FIM 2010 R2 – cela fonctionne avec via la méthode « Internet-based Password Reset », donc uniquement avec FIM 2010 R2 et pas avec FIM 2010.

De plus, l’application supporte le mode OTP qui a été introduit lui-aussi avec FIM 2010 R2 permettant par exemple l’envoi d’information via SMS directement au téléphone portable.

L’application est disponible sur le Marketplace Microsoft, et est totalement gratuite.

Quelques capture d’écrans:

 

   

 

 

Vidéo: Gestion du cycle de vie des Tokens OTP depuis Forefront Identity Manager 2010

gemalto_dualdotnet Gérer le cycle des identités en prenant en compte les modules OTP, tel est le challenge de cette vidéo qui démontre comment intégrer le provisioning des modules OTP Gemalto, et comment les associer à un utilisateur physique depuis un processus Forefront Identity Manager 2010.

Depuis une dizaine d’années de nombreuses organisations ont investi dans les technologies « One Time Password » (OTP) afin de sécuriser les accès VPN ou les accès à des applications sensibles telles que Outlook Web Access par exemple. Mais la création du Token OTP et son association avec l’utilisateur physique nécessitait généralement une intégration complexe dans le système de gestion des identités de l’entreprise ou une procédure manuelle couteuse et génératrice d’erreurs. L’association de FIM 2010 et des solutions Gemalto Protiva semble pouvoir couvrir ce problème récurrent.