Фактор аутентификации TOTP – это один из методов двухфакторной аутентификации, который основан на использовании временных паролей, создаваемых на основе текущего времени и специального шифрования.
Для использования данного метода необходимо иметь на мобильном устройстве любое приложение-генератор, которое работает с протоколом TOTP (например, Avanpost Authenticator, Яндекс.Ключ, Google Authenticator, Microsoft Authenticator и т.д.).
При входе в Систему после ввода основного пароля потребуется ввести сгенерированный временный пароль, который действителен только на ограниченное время.
Для того, чтобы сотрудник мог пользоваться методом аутентификации TOTP OTP, требуется выполнить привязку TOTP-аутентификатора. Привязка аутентификатора TOTP возможна в следующих сценариях:
Привязка в личном кабинете Avanpost FAM посредством сканирования приложением-генератором TOTP QR-кода.
Привязка через электронную почту посредством отправки QR-кода на E-mail адрес сотрудника.
Для отвязки привязанного TOTP-аутентификатора, например, при утере или поломке смартфона пользователя. Следует настроить метод аутентификации TOTP в разделе административного интерфейса “Сервис” и установить там флаг “Разрешить Inline-привязку с помощью других факторов”.
Настройка фактора программный TOTP
Настройка выполняется однократно для приложения Avanpost Authenticator, а не для отдельных аккаунтов/групп аккаунтов пользователей.
Настройка метода аутентификации Avanpost осуществляется в административной консоли Avanpost FAM Server следующим образом:
Войти в раздел "Настройки методов аутентификации" режима "Сервис".
Нажать кнопку "Добавить метод аутентификации".
Заполнить общую информацию о методе согласно таблице (более подробно параметры описаны в Настройка методов аутентификации) и нажать кнопку "Далее".
Параметр
Описание
Название
Ввести название.
Фактор аутентификации
Выбрать "TOTP".
Метод активен
Заполнить чекбокс:
при включенном чекбоксе метод можно использовать сразу после его создания и настройки;
при выключенном чекбоксе метод невозможно использовать сразу после создания: для требуется активация в его профиле.
Установить параметры метода согласно таблице ниже.
Параметр
Настройка
Название метода отображаемое пользователям
Ввести название метода для отображения пользователям.
Ключ-тэг
Ввести уникальный тэг (используется для ориентации в логах).
Фактор аутентификации
TOTP
Метод активен
Заполнить чекбокс:
При установленном чекбоксе метод аутентификации активен и может использоваться.
При выключенном чекбоксе не активен и не может использоваться пока не будет активирован.
Настройки привязки фактора
Разрешить Inline-привязку с помощью других факторов
Заполнить чекбокс:
при включенном чекбоксе пользователь имеет возможность привязывать дополнительные факторы непосредственно в процессе аутентификации;
при выключенном чекбоксе у пользователя отсутствуетпривязывать факторы в процессе аутентификации.
Настройки TOTP
Длина TOTP
Установить число символов одноразового пароля (по умолчанию 6).
Алгоритм одноразового пароля (TOTP)
Выбрать алгоритм шифрования:
генерирует 160-битные хэши;
SHA256 – генерирует 256-битные хэши;
SHA512 – генерирует 512-битные хэши (обеспечивает наиболее высокий уровень безопасности данных).
Время действия TOTP (в секундах)
Установить время ожидания ответа после генерации пароля в секундах (по умолчанию 30). В течение данного времени TOTP остается валидным, по истечении времени TOTP обновляется.
Использовать код 1 раз
Допустимое отклонение при проверке TOTP-кода. Данная функция компенсирует возможною незначительную рассинхронизацию серверного времени и времени на TOTP-устройстве пользователя.
Заполнить чекбокс:
при выключенном флажке пользователь при входе может ввести как текущий код подтверждения, так и следующий или предыдущий (сгенерированный в соседних временных интервалах);
установленный флажок запрещает использование TOTP-кода, сгенерированного в соседних временных интервалах.
Время действия генератора TOTP
Глобальная настройка, ограничивающая время жизни OTP-генератора в Avanpost FAM. При этом изменение значения срока действия аппаратного токена применяется лишь на те токены, которые вновь назначаются пользователям.
Заполнить чекбокс:
при включенном чекбоксе у аппаратного OTP-генератора срок действия ограничен периодом, вводимым администратором в возникающем текстовом поле (срок отсчитывается от времени создания TOTP-токена для конкретного пользователя).
при выключенном чекбоксе срок действия TOTP-токена не ограничен.
Политика временной блокировки
Количество неверных попыток ввода TOTP
Установить максимальное число попыток неверного ввода TOTP (по умолчанию 5).
Интервал времени для подсчёт неверных попыток ввода TOTP (в секундах)
Установить интервал времени в секундах (по умолчанию 30).
За установленное время Система подсчитывает количество неверных попыток ввода пароля и блокирует доступ к фактору аутентификации или УЗ (в зависимости от настроек) после определенного числа ошибочных попыток.
Бессрочная блокировка
Установленный флажок включает бессрочную блокировку фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя") после исчерпания попыток ввода TOTP.
Период блокировки (в секундах)
Установить в секундах временной период блокировки фактора аутентификации или УЗ пользователя (если установлен флажок "Блокировать учетную запись пользователя") после исчерпания попыток ввода TOTP.
Блокировать учетную запись пользователя
Установленный флажок включает блокировку УЗ пользователя после исчерпания попыток ввода TOTP.
Нажать кнопку "Сохранить" (для отказа от создания нажать кнопку "Отмена", для возврата на прошлый шаг кнопку "Назад").