Bonjour, Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai contacté directement en privé pour éviter des gestes trop commerciaux directement sur la liste, mais puisque tu le demandes, je vais me faire un plaisir de parler d'un produit développé par mon précédent employeur et qui répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser ce genre d'accès ; Il s'agit d'une solution d'authentification forte par téléphonie mobile, qui permet au travers d'un navigateur de générer de manière automatique un appel vocal avec le téléphone du client, puis de jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce son entendu par le téléphone constitue une étape d'authentification, puisque effectuée par un autre média qu'Internet, non reproductible, et non transportable (une retransmission par un second téléphone ou autre dispositif avec compression altérera le message et le rendra inauthentifiable). L'authentification peut être renforcée par la demande pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant s'authentifier est susceptible de ne pas avoir de matériel sonore (enceintes, casque, etc...), il est possible d'effectuer l'authentification par l'entrée d'un code de transaction : il est à noter cependant que l'on perd dès lors l'OTP. Je précise, quitte à présenter le produit en détail qu'il est accessible en SaaS ou en mode appliance, rackable en datacenter, et que le produit est commandable à partir de n'importe quel langage disposant d'une librairie d'appel SOAP. Je précise également que cette solution est compatible avec tous les téléphones, tous les opérateurs, dans tous les pays. Je suis là demain, pour en parler, si vous le souhaitez.
Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir discuter du produit en connaissance de cause demain. http://www.certificall.net Ce type de solution s'intercale donc très bien dans l'étape d'authentification pour accès à l'espace privé du client. Il est dès lors possible de savoir que le client est bien celui qu'il prétend être, et ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le client peut donc partir en vacances à l'autre bout du monde et toujours pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos vacances ;) ) A demain, Florian MAURY > 2010/6/24 Mehdi Badreddine <mehdi.badredd...@gmail.com>: >> à ce propos, quid des OTP ? des retours d'expériences ? >> >> Mehdi >> >> Le 24 juin 2010 10:35, Jérémie Pogeant <jeremie.poge...@gmail.com> a écrit : >>>> >>>> [snip] >>>> Citez moi un serveur SFTP qui est capable de : >>>> - faire des soft quota >>>> - trouver ses uid/gid/login/pass/clef publique depuis une db ou un >>>> annuaire ldap >>>> - qui soit évidement opensource et portable ailleurs que sur du linux... >>>> [/snip] >>> >>> proFTPd avec mod_sftp et mod_sql (pour la base des users). >>> Il est compatible avec la gestion des quotas. Par contre je ne sais pas >>> pour le stockage de la clé publique dans la db. >>> -- >>> Jérémie Pogeant >> >> > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
