Aller au contenu

Sécurité & Authentification à deux facteurs

Stridevox inclut l'authentification à deux facteurs (2FA) optionnelle utilisant TOTP (mots de passe à usage unique basés sur le temps) pour une couche de sécurité supplémentaire sur votre compte.

Authentification à deux facteurs (2FA)

Qu'est-ce que la 2FA ?

L'authentification à deux facteurs ajoute une seconde étape à votre connexion. Après avoir entré votre mot de passe, vous devrez également fournir un code à 6 chiffres depuis une application d'authentification. Même si quelqu'un connaît votre mot de passe, il ne peut pas se connecter sans votre téléphone.

Configurer la 2FA

  1. Allez dans Paramètres > Compte
  2. Trouvez la section Authentification à deux facteurs
  3. Cliquez sur Activer l'authentification à deux facteurs
  4. Un QR code apparaît à l'écran
  5. Ouvrez votre application d'authentification et scannez le QR code :
    • Google Authenticator (iOS / Android)
    • Authy (iOS / Android / Bureau)
    • 1Password, Bitwarden ou toute application compatible TOTP
  6. Si vous ne pouvez pas scanner le QR code, cliquez sur Saisie manuelle pour voir la clé secrète et la saisir manuellement
  7. Entrez le code à 6 chiffres depuis votre application d'authentification pour vérifier
  8. Sauvegardez vos codes de secours (voir ci-dessous)
  9. Cliquez sur Terminé

La 2FA est maintenant active

Désormais, vous aurez besoin de votre application d'authentification à chaque connexion.

Se connecter avec la 2FA

  1. Entrez votre nom d'utilisateur et mot de passe comme d'habitude
  2. Un nouvel écran apparaît demandant votre code de vérification
  3. Ouvrez votre application d'authentification et entrez le code à 6 chiffres actuel
  4. Cliquez sur Vérifier

Les codes changent toutes les 30 secondes

Les codes TOTP se rafraîchissent automatiquement. Si un code ne fonctionne pas, attendez qu'un nouveau apparaisse dans votre application d'authentification.

Codes de secours

Lorsque vous activez la 2FA, Stridevox génère des codes de secours — des codes à usage unique qui fonctionnent à la place de votre application d'authentification.

Sauvegardez ces codes en lieu sûr ! Vous en aurez besoin si :

  • Vous perdez votre téléphone
  • Votre application d'authentification est désinstallée
  • Vous ne pouvez pas accéder à votre application d'authentification pour quelque raison que ce soit

Utiliser un code de secours

  1. Sur l'écran de vérification 2FA, cliquez sur Utiliser un code de secours
  2. Entrez l'un de vos codes de secours
  3. Cliquez sur Vérifier

Chaque code de secours ne peut être utilisé qu'une seule fois. Après utilisation, il est invalidé.

Régénérer les codes de secours

Si vous avez utilisé la plupart de vos codes de secours ou en voulez de nouveaux :

  1. Allez dans Paramètres > Compte > Authentification à deux facteurs
  2. Cliquez sur Régénérer les codes de secours
  3. Sauvegardez les nouveaux codes — les anciens sont invalidés

Les anciens codes cessent de fonctionner

Lorsque vous régénérez les codes de secours, tous les codes de secours précédents sont définitivement invalidés. Assurez-vous de sauvegarder les nouveaux.

Désactiver la 2FA

  1. Allez dans Paramètres > Compte > Authentification à deux facteurs
  2. Cliquez sur Désactiver la 2FA
  3. Confirmez l'action

La 2FA est retirée de votre compte et vous n'aurez besoin que de votre mot de passe pour vous connecter.

Sécurité des mots de passe

Comment les mots de passe sont stockés

Stridevox utilise Argon2 pour le hachage des mots de passe — actuellement l'algorithme de hachage de mots de passe le plus sécurisé, vainqueur du Password Hashing Competition. Votre mot de passe n'est jamais stocké en texte clair.

Mot de passe oublié

Si vous avez défini un email sur votre compte :

  1. Sur l'écran de connexion, cliquez sur Mot de passe oublié
  2. Entrez votre adresse email
  3. Vérifiez votre email pour un lien de réinitialisation
  4. Cliquez sur le lien et définissez un nouveau mot de passe

Email requis

La réinitialisation de mot de passe nécessite une adresse email configurée. Si vous n'en avez pas défini, un administrateur peut réinitialiser votre mot de passe pour vous.

Verrouillage de compte

Après plusieurs tentatives de connexion échouées, votre compte peut être temporairement verrouillé pour empêcher les attaques par force brute. Attendez quelques minutes et réessayez.

Chiffrement des données

Stridevox chiffre les données sensibles au repos :

Donnée Chiffrement
Mots de passe Hash Argon2 (irréversible)
Identifiants Garmin Chiffrement symétrique Fernet
Clés API IA Chiffrement symétrique Fernet
Tokens de session JWT avec expiration

Clé de chiffrement

Tout le chiffrement Fernet utilise une clé dérivée de la SECRET_KEY du serveur. Cette clé est définie lors de l'installation et ne doit jamais être modifiée.