Fonctionnement

Mise en place

Une fois votre organisation enregistrée ici, il ne vous reste plus qu’à mettre en place quelques éléments : les connecteurs applicatifs, les méthodes d’authentification et les paramètres d’enrôlement.

Enrôlement des utilisateurs et des terminaux

Quand un nouvel utilisateur est enregistré dans notre plateforme, celle-ci émet un Secure Site ID (= code d’activation) et l’envoie sous forme de lien à l’utilisateur dans un email d’invitation (il y a des scénarios alternatifs, celui-ci étant le plus courant). Le lien pointe sur une page d’enrôlement qui propose à l’utilisateur d’enregistrer son navigateur et son smartphone comme terminaux de confiance. Vous pouvez personnaliser tout cela dans la console d’administration.

Enrôler un navigateur (respectivement, une App d’authentification sur un téléphone) signifie que des clés secrètes sont générées et échangées de manière sécurisée entre le navigateur (respectivement le smartphone) et notre plateforme. Ces clés sont alors stockées de façon sécurisée à la fois dans le terminal de confiance et dans notre plateforme. Les clés sont uniques pour l’utilisateur, le terminal de confiance et votre service. Elles seront utilisées pour l’authentification.

Terminaux de confiance, clés et mots de passe unique

Un terminal de confiance (= une méthode d’authentification) est utilisé pour générer à la demande un mot de passe unique. Un mot de passe unique (ou OTP) est calculé par le terminal de confiance avec des fonctions cryptographiques appelées fonctions de hachage. Pour faire simple, les fonctions de hachage transforment les clés et le PIN saisi par l’utilisateur au moment de l’authentification (et quelques autres données) en un mot de passe unique, dépendant d’un terminal de confiance et dédié à une transaction. Ce mot de passe prouve que l’utilisateur possède le terminal de confiance et connaît le PIN mais ne révèle rien ni sur les clés ni sur le PIN.

Si le terminal de confiance est un smartphone doté d’un capteur d’empreinte digitale, vous pouvez relire toute cette section en remplaçant “PIN” par “empreinte digitale”.

Par ailleurs, puisque des clés stockées dans un navigateur ou une App sont facilement accessibles, inWebo a ajouté une couche supplémentaire de sécurité en rendant ces clés aléatoirement dynamiques.