Avanpost FAM/MFA+ : 5.4.4. Настройка метода программный TOTP

Общие сведения

Фактор аутентификации TOTP – это один из методов двухфакторной аутентификации, который основан на использовании временных паролей, создаваемых на основе текущего времени и специального шифрования.

Для использования данного метода необходимо иметь на мобильном устройстве любое приложение-генератор, которое работает с протоколом TOTP (например, Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator и т.д.).

При входе в Систему после ввода основного пароля потребуется ввести сгенерированный временный пароль, который действителен только на ограниченное время.

Для того, чтобы сотрудник мог пользоваться методом аутентификации TOTP OTP, требуется выполнить привязку TOTP-аутентификатора. Привязка аутентификатора TOTP возможна в следующих сценариях:

  • Привязка в личном кабинете Avanpost FAM посредством сканирования приложением-генератором TOTP QR-кода.
  • Привязка через электронную почту посредством отправки QR-кода на E-mail адрес сотрудника.

Для отвязки привязанного TOTP-аутентификатора, например, при утере или поломке смартфона пользователя. Следует настроить метод аутентификации TOTP в разделе административного интерфейса “Сервис” и установить там флаг “Разрешить Inline-привязку с помощью других факторов”.

Настройка фактора программный TOTP

Настройка фактора TOTP производится в административной консоли в разделе "Настройки методов аутентификации" режима "Сервис" (Таблица).

Таблица – Описание параметров настройки фактора TOTP

Параметр 

Настройка
Ключ-тэг

Ввести уникальный тэг (используется для ориентации в логах).

Фактор аутентификацииTOTP
Метод активенУстановленный флажок включает активность метода аутентификации.
Длина TOTPУстановить число символов одноразового пароля (по умолчанию 6).
Алгоритм одноразового пароля (TOTP)
  • генерирует 160-битные хэши;

Установить время ожидания ответа после генерации пароля в секундах (по умолчанию 30).
Количество неверных попыток ввода TOTPУстановить максимальное число попыток неверного ввода TOTP (по умолчанию 5).
Интервал времени для подсчёт неверных попыток ввода TOTP (в секундах)

Установить интервал времени в секундах (по умолчанию 30).

За установленное время Система подсчитывает количество неверных попыток ввода пароля и блокирует доступ к фактору аутентификации или УЗ (в зависимости от настроек) после определенного числа ошибочных попыток. 

Использовать код 1 раз

Допустимое отклонение при проверке TOTP-кода. Данная функция компенсирует возможною незначительную рассинхронизацию серверного времени и времени на TOTP-устройстве пользователя.

Требуется установить/убрать флажок в чекбоксе:

  • при выключенном флажке пользователь при входе может ввести как текущий код подтверждения, так и следующий или предыдущий (сгенерированный в соседних временных интервалах);
  • установленный флажок запрещает использование TOTP-кода, сгенерированного в соседних временных интервалах.
Бессрочная блокировкаУстановленный флажок включает бессрочную блокировку фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя")  после исчерпания попыток ввода TOTP.
Период блокировки (в секундах)

Установить в секундах временной период блокировки фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя") после исчерпания попыток ввода TOTP.

Блокировать учетную запись пользователяУстановленный флажок включает блокировку УЗ пользователя после исчерпания попыток ввода TOTP.

Обсуждение