Aujourd’hui, pour sécuriser les accès aux espaces restreints sur un projet web, le couple nom d’utilisateur/mot de passe ne suffit pas.

Même si ces identifiants sont bien gérés (ex. hashage en base de données) et les règles de sécurité associées sont fortes (complexité, taille minimale…), il peut arriver que des accès non-autorisés aient lieu.

Depuis quelques années, les projets web s’arment pour sécuriser encore plus ces accès. Une technique maintenant bien établie consiste à coupler les comptes avec une authentification à deux facteurs.

Dans la très grande majorité des cas, le premier facteur reste reste le couple nom d’utilisateur/mot de passe. Le second facteur peut varier, mais fait bien souvent appel

  • à un objet que l’on possède : téléphone, clé USB…
  • à ce qu’on est : empreinte digitale, reconnaissance faciale…

 

Parce qu’une application PHP doit aussi pouvoir protéger les comptes de ces utilisateurs, voici quelques projets qui pourront vous aider :

  • OTPHP : support de codes à usage unique compatible avec Google Authenticator notamment
  • U2F-PHP : support des clés de sécurité compatibles FIDO U2F.

 

Logo FIDO U2F Ready

Logo FIDO U2F Ready