Vue du mot de passe à usage unique

Configurez AppScan® pour utiliser OTP (une sorte d’authentification multifacteur ou MFA) lors de la connexion.

Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Aucun.

Lorsque vous enregistrez la procédure de connexion, AppScan extrait les paramètres appropriés du trafic et les ajoute à la liste des paramètres HTTP du mot de passe à usage unique. Ils seront également ajoutés à l'entrée de mot de passe à usage unique dans la vue Remplissage automatique de formulaires. Si AppScan ne parvient pas à identifier les paramètres, vous devez les ajouter vous-même, dans cette vue ou dans la vue Remplissage automatique de formulaires.

Limitations :

Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
Le mot de passe à usage unique n'est pris en charge que lorsque le navigateur Chromium est utilisé pour enregistrer la connexion. Il n'est pas pris en charge si Internet Explorer est utilisé.

Pour voir notre courte démonstration vidéo, cliquez sur l’icône ci-dessous :


Option	Description
Mot de passe à usage unique et à durée limitée	Pour les mots de passe à usage unique et à durée limitée, vous devez fournir à AppScan les informations suivantes : Clé secrète Longueur du mot de passe à usage unique (nombre de chiffres) Algorithme de hachage utilisé (sélectionner dans la liste déroulante) Etape de temps (en secondes) Conseil : L'heure sur la machine AppScan et sur le serveur testé doit être la bonne.
Mot de passe à usage unique généré par URL	Si le mot de passe à usage unique est accessible à partir d'une URL désignée, vous pouvez configurer AppScan pour qu'il l'extraie à partir de la réponse de l'URL. Vous devez fournir à AppScan les informations suivantes : Adresse URL Expression régulière qui identifie le mot de passe à usage unique dans la réponse d'URL.
Aucun	Le mot de passe à usage unique n'est pas utilisé par le site, ou l'examen des pages qui utilisent le mot de passe à usage unique n'est pas requis.
Caractéristiques
Paramètres HTTP du mot de passe à usage unique	Si vous avez sélectionné l'un des types de mot de passe à usage unique, lorsque vous enregistrez et validez la procédure de connexion enregistrée, AppScan® identifie le nom du mot de passe à usage unique ou l'ID d'élément dans le trafic et les ajoute à la liste Remplissage automatique de formulaires. Il sera également affiché ici. Si AppScan® ne parvient pas à identifier le paramètre ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre ici vous-même. S’il y en a plusieurs, ils doivent être séparés par des virgules. Pour plus d'informations, voir la section ci-dessous.

Comment identifier le paramètre HTTP OTP

AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l’application) et l’identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.

Procédez comme suit pour identifier le paramètre :

Ouvrez un navigateur et accédez à la page de connexion de votre application.
Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s’ouvre à droite ou en dessous du panneau principal du navigateur).
Cliquez sur l’onglet Eléments pour afficher le code HTML.
Lorsque vous sélectionnez une partie du code, l’élément est mis en évidence dans le volet principal du navigateur.
Localisez l’élément qui met en évidence la zone OTP.
Exemple :
```
<input type="text" name="OTPvalue" value="">
```
La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.
Exemple :
```
OTPvalue
```
S’il existe plusieurs paramètres HTTP OTP, séparez-les par des virgules.