Authentification multifactorielle (MFA)

Configurez AppScan® pour utiliser un mot de passe à usage unique ou des questions de sécurité (authentification multifactorielle) lors de la connexion.

Mot de passe à usage unique (OTP)

Si votre application utilise un mot de passe à usage unique, sélectionnez l'une des deux options. Sinon, laissez le paramètre par défaut : Aucun.

Lorsque vous enregistrez la procédure de connexion, AppScan extrait les paramètres appropriés du trafic et les ajoute à la liste des paramètres HTTP du mot de passe à usage unique. Ils seront également ajoutés à l'entrée de mot de passe à usage unique dans la vue Remplissage automatique de formulaires. Si AppScan ne parvient pas à identifier les paramètres, vous devez les ajouter vous-même, dans cette vue ou dans la vue Remplissage automatique de formulaires.
Limitations :
  • Un seul type de mot de passe à usage unique (mot de passe à usage unique et à durée limitée ou mot de passe à usage unique généré par URL) est pris en charge par examen.
  • Pour les mots de passe à usage unique et à durée limitée, seules les valeurs numériques sont prises en charge.
  • Lorsque OTP est configuré, la méthode Basée sur les actions doit être la méthode de lecture de connexion sélectionnée dans Lecture de la connexion. L'OTP ne fonctionnera pas avec la connexion basée sur les demandes.
Pour voir notre courte démonstration vidéo, cliquez sur l'icône ci-dessous :

Comment identifier le paramètre HTTP OTP

AppScan doit connaître le nom du paramètre qui contient l'OTP (afin de pouvoir se connecter à l'application) et l'identifie généralement lors de la validation de la procédure de connexion enregistrée. S'il n'y parvient pas, ou si vous utilisez la connexion automatique, vous devez ajouter le paramètre vous-même.

Pour identifier le paramètre :
  1. Ouvrez un navigateur et accédez à la page de connexion de votre application.
  2. Cliquez sur F12 pour ouvrir le panneau des outils de développement du navigateur (s'ouvre à droite ou en dessous du panneau principal du navigateur).
  3. Cliquez sur l'onglet Eléments pour afficher le code HTML.

    Lorsque vous sélectionnez une partie du code, l'élément est mis en évidence dans le volet principal du navigateur.

  4. Localisez l'élément qui met en évidence la zone OTP.
    Exemple :
    <input type="text" name="OTPvalue" value="">
  5. La valeur du paramètre name, sans guillemets, est le paramètre HTTP OTP dont vous avez besoin.
    Exemple :
    OTPvalue
  6. S'il existe plusieurs paramètres HTTP OTP, cliquez sur Ajouter autre pour ajouter des champs supplémentaires si besoin.

Questions de sécurité

Les « questions de sécurité » sont une méthode couramment utilisée par les applications et les sites Web pour ajouter une couche de sécurité supplémentaire aux comptes utilisateur. Ces questions sont généralement personnelles et exigent que les utilisateurs fournissent des réponses spécifiques qu'ils sont les seuls à connaître. Cette étape supplémentaire permet de vérifier l'identité de l'utilisateur, en particulier lors de la récupération du mot de passe ou de l'accès à des informations sensibles.

Si votre application utilise des questions de sécurité pour l'authentification des utilisateurs, il est essentiel de les ajouter ici. Cela permet à AppScan d'identifier et de capturer avec précision les questions de sécurité lors de l'enregistrement de connexion, de la détection en session ou du processus de lecture de connexion.

Pour ajouter des questions de sécurité :
  1. Cliquez sur + Ajouter.
  2. Saisissez la question exactement comme elle est définie dans votre application.
  3. Saisissez la réponse exactement comme elle est définie dans votre application.
  4. Définissez éventuellement le paramètre.
  5. Cliquez sur Appliquer.
Remarque : Veillez à inclure toutes les questions et réponses de sécurité utilisées par votre application. Le non-respect de cette consigne peut entraîner des complications lors de l'examen, de l'enregistrement des connexions et de l'accès aux informations sensibles à l'aide d'AppScan.

Lorsque vous enregistrez la connexion (avec la réponse à la question) ou que vous démarrez l'examen, AppScan identifie les questions de sécurité dans l'application lors de la connexion ou du processus d'examen après une connexion réussie.

Lorsque vous utilisez cette fonction, il est recommandé d'activer l'indicateur SessionManagement:ShowActionBasedPlayerWindow pour vérifier que les réponses aux questions sont correctes. Pour activer ce paramètre :
  1. Allez dans Outils > Options > Avancé
  2. Repérez SessionManagement:ShowActionBasedPlayerWindow, et définissez son paramètre sur True.
  3. Effectuez une analyse. Le navigateur s'ouvre pendant l'examen, et vous pouvez regarder pendant que AppScan explore votre site, mais également les réponses.