Aller au contenu principal

Codes de secours

Concepts

Les codes de secours, également appelés codes de récupération, sont des codes à usage unique pour l’authentification multi-facteurs (MFA), servant de solution de secours au cas où les facteurs d’authentification principaux de l’utilisateur (par exemple, application d’authentification ou jeton matériel) ne seraient pas disponibles.

La perte de ces codes peut entraîner des difficultés de récupération de compte. Il est donc recommandé de configurer un facteur principal supplémentaire avant d’activer les codes de secours, en leur donnant la priorité.

Logto génère automatiquement 10 codes de secours pour les utilisateurs dès qu’ils configurent un facteur supplémentaire. Chaque code est à usage unique. Il est conseillé aux utilisateurs de régénérer un nouvel ensemble de codes dans les paramètres du compte utilisateur (accessibles via le Management API) avant d’épuiser tous les codes existants.

Configurer les codes de secours pour la MFA

  1. Accédez à Console > Authentification multi-facteurs (MFA)
  2. Activez le facteur "Codes de secours". Les codes de secours ne peuvent pas être utilisés comme seul facteur MFA. Il est nécessaire d’utiliser les codes de secours en combinaison avec d’autres facteurs MFA principaux (passkeys, application d’authentification, SMS, e-mail).
  3. Configurez votre politique MFA préférée (obligatoire ou facultative)
  4. Enregistrez vos modifications de configuration

Configurer la gestion des codes de secours

Vous pouvez utiliser l’Account API pour créer des interfaces de gestion de compte personnalisées où les utilisateurs peuvent consulter, régénérer et supprimer leurs codes de secours. Cela permet aux utilisateurs de gérer directement leurs options de récupération depuis les paramètres de compte de votre application.

Pour des étapes de mise en œuvre détaillées et les points de terminaison API, consultez Paramètres du compte via Account API.

Flux de configuration des codes de secours

Étant donné que les codes de secours sont un facteur MFA secondaire, ils ne peuvent être configurés qu’après qu’un facteur MFA principal a été configuré avec succès. Un groupe de 10 codes de secours générés automatiquement sera affiché à l’utilisateur, qui pourra les télécharger et les copier en toute sécurité. L’utilisateur doit confirmer manuellement les codes de secours pour finaliser le processus de configuration MFA.

Flux de configuration des codes de secours

Flux de vérification des codes de secours

Les codes de secours servent d’authentification d’urgence lorsque les facteurs MFA principaux ne sont pas disponibles. Chaque code ne peut être utilisé qu’une seule fois et devient invalide après une vérification réussie.

Priorité de vérification :

  • Facteurs principaux en premier : Lorsque les utilisateurs ont d’autres facteurs MFA configurés, les facteurs principaux (passkeys, TOTP, SMS, e-mail) sont proposés en priorité.
  • Accès aux codes de secours : Les utilisateurs peuvent passer aux codes de secours en cliquant sur "Essayer une autre méthode de vérification" si les facteurs principaux ne sont pas disponibles.
  • Scénario de repli : Si tous les facteurs principaux sont supprimés, les codes de secours deviennent la seule option de vérification. Après une vérification MFA réussie via les codes de secours lors de la connexion, Logto invite automatiquement les utilisateurs à configurer un nouveau facteur principal.
Flux de vérification des codes de secours