• # Keycloak

    Posté par (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 6 (+5/-0).

    Bonjour,

    Note importante de positionnement : les Recovery Codes Keycloak adressent le cas « j'ai perdu mon 2FA mais je connais toujours mon mot de passe principal ». Le password reset principal de Keycloak utilise, lui, le canal email standard (configuration SMTP dans l'onglet Email de l'admin console).

    Les Recovery Codes dans Keycloak peuvent assez simplement permettre la réinitialisation de n’importe quel facteur d’authentification, y compris le mot de passe. Tout dépend de la manière dont on configure les flows d’authentification et/ou de self-service.

    L'application abandonne entièrement le flow de réinitialisation par email. L'utilisateur génère une passphrase diceware à l'inscription (liste EFF de 7 776 mots, 4 à 7 mots par défaut), qu'il mémorise ou stocke dans son gestionnaire de mots de passe. Cette passphrase, combinée au nom de domaine du site via HMAC-SHA256, permet de réinitialiser le mot de passe sans aucune dépendance externe.

    Si l’utilisateur a retenu cette passphrase, par exemple en la stockant dans son coffre-fort à mots de passe, pourquoi n’en aurait-il pas fait autant avec son mot de passe ? Du coup, le cas d’usage est-il réellement pertinent ? Ne va-t-on pas toujours tomber dans le cas où il faudra passer par le support et l’intervention d’un humain ?

    C’est, je penses, d’ailleurs pour cela que les Recovery Codes sont plutôt mis en avant pour du MFA, où il est plus réaliste de perdre ou de casser son mobile qui porte un facteur.