Authentification multifactorielle (MFA)

Configurez AppScan® pour utiliser un mot de passe à usage unique ou des questions de sécurité (authentification multifactorielle) lors de la connexion.

Mot de passe à usage unique (OTP)

Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Pas de notification

Lorsque vous enregistrez la procédure de connexion, AppScan extrait les paramètres appropriés du trafic et les ajoute à la liste des paramètres HTTP du mot de passe à usage unique. Ils seront également ajoutés à l'entrée de mot de passe à usage unique dans la vue Remplissage automatique de formulaires. Si AppScan ne parvient pas à identifier les paramètres, vous devez les ajouter vous-même, dans cette vue ou dans la vue Remplissage automatique de formulaires.
Limitations :
  • Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
  • Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
  • Lorsque OTP est configuré, la méthode Basée sur les actions doit être la méthode de lecture de connexion sélectionnée dans Lecture de la connexion. L'OTP ne fonctionnera pas avec la connexion basée sur les demandes.
Pour voir notre courte démonstration vidéo, cliquez sur l'icône ci-dessous :

Comment identifier le paramètre HTTP OTP

AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l'application) et l'identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.

Pour identifier le paramètre :
  1. Ouvrez un navigateur et accédez à la page de connexion de votre application.
  2. Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s'ouvre à droite ou en dessous du panneau principal du navigateur).
  3. Cliquez sur l'onglet Eléments pour afficher le code HTML.

    Lorsque vous sélectionnez une partie du code, l'élément est mis en évidence dans le volet principal du navigateur.

  4. Localisez l'élément qui met en évidence la zone OTP.
    Exemple :
    <input type="text" name="OTPvalue" value="">
  5. La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.
    Exemple :
    OTPvalue
  6. S'il existe plusieurs paramètres HTTP OTP, cliquez sur Ajouter autre pour ajouter des champs supplémentaires si besoin.

Questions de sécurité

Les « questions de sécurité » sont une méthode couramment utilisée par les applications et les sites Web pour ajouter une couche de sécurité supplémentaire aux comptes utilisateur. Ces questions sont généralement de nature personnelle et exigent que les utilisateurs fournissent des réponses spécifiques qu'ils sont les seuls à connaître. Cette étape supplémentaire permet de vérifier l'identité de l'utilisateur, en particulier lors de la récupération d'un mot de passe ou de l'accès à des informations sensibles.

Si votre application utilise des questions de sécurité comme couche supplémentaire pour l'authentification des utilisateurs, il est essentiel de les ajouter ici. Cela permet à AppScan d'identifier et de capturer les questions de sécurité avec précision pendant le processus d'enregistrement de connexion.

Pour ajouter des questions de sécurité :
  1. Cliquez sur + Ajouter.
  2. Saisissez la question, la réponse et éventuellement les paramètres, puis cliquez sur Appliquer.
Remarque : Assurez-vous d'inclure toutes les questions de sécurité utilisées par votre organisation dans l'application. Le non-respect de cette consigne peut entraîner des complications lors de l'enregistrement des connexions à l'aide d'AppScan.