FIDO2 avec Linux#

La Nitrokey FIDO2 prend en charge l’authentification à deux facteurs (2FA) et l’authentification sans mot de passe :

  • Avec l’authentification sans mot de passe, la saisie d’un mot de passe est remplacée par la connexion avec la Nitrokey FIDO2 et un code PIN.

  • Avec l’authentification à deux facteurs (2FA), la Nitrokey FIDO2 est vérifiée en plus du mot de passe.

La Nitrokey FIDO2 peut être utilisée avec n’importe quel navigateur actuel.

Important

L’application Nitrokey ne peut pas être utilisée pour la Nitrokey FIDO2.

Astuce

Vérifiez en ligne si votre Nitrokey FIDO2 dispose du dernier firmware installé.

Authentification sans mot de passe#

  1. Ouvrez une page web qui prend en charge FIDO2 (actuellement seulement Microsoft).

  2. Connectez-vous au site web et allez à « Set up security key » dans les paramètres de sécurité de votre compte.

  3. Vous devez maintenant définir un code PIN pour votre Nitrokey FIDO2.

  4. Appuyez sur le bouton de votre Nitrokey FIDO2 lorsque vous y êtes invité.

  5. Une fois que vous avez configuré le dispositif avec succès, vous devrez activer votre Nitrokey FIDO2 de cette manière à chaque fois que vous vous connecterez, après avoir saisi votre code PIN.

Authentification à deux facteurs (2FA)#

  1. Ouvrez l’un des sites web qui prennent en charge FIDO U2F.

  2. Connectez-vous au site web et activez l’authentification à deux facteurs dans les paramètres de votre compte. (Dans la plupart des cas, vous trouverez un lien vers la documentation du service Web pris en charge sur dongleauth.com).

  3. Enregistrez votre Nitrokey FIDO U2F dans les paramètres du compte en touchant le bouton pour activer la Nitrokey FIDO U2F. Après avoir configuré le dispositif avec succès, vous devez activer la Nitrokey FIDO U2F de cette manière à chaque fois que vous vous connectez.

Vous êtes maintenant prêt à partir.

Comportement du bouton tactile et de la LED#

La première opération FIDO est automatiquement acceptée dans les deux secondes qui suivent la connexion de Nitrokey FIDO2. Dans ce cas, il n’est pas nécessaire de toucher le bouton tactile.

Plusieurs opérations peuvent être acceptées par une seule touche. Pour cela, maintenez la touche tactile enfoncée pendant 10 secondes au maximum.

Afin d’éviter une réinitialisation accidentelle et malveillante de la Nitrokey, le temps de confirmation tactile requis pour l’opération de réinitialisation de la FIDO2 est plus long et avec un comportement distinct de la LED (LED rouge allumée) que les opérations normales. Pour réinitialiser la Nitrokey FIDO2, confirmez en touchant le bouton tactile pendant au moins 5 secondes jusqu’à ce que la LED verte ou bleue s’allume.

Couleur de la LED

Événement

Période de temps

Commentaires

Tout (clignotant)

En attente d’un contact

Jusqu’à ce que le contact soit confirmé ou que le temps soit écoulé

Tout (clignotement plus rapide)

Détection du toucher, comptage des secondes

Jusqu’à ce que le contact soit confirmé ou que le temps soit écoulé

Blanc (clignote)

Demande de contact pour une opération d’enregistrement ou d’authentification FIDO

Il faut une seconde de contact pour que l’opération soit terminée ; le délai d’attente est généralement d’environ 30 secondes.

Jaune (clignote)

Demande tactile pour l’opération de configuration

Nécessite 5 secondes d’effleurement pour être complété ; par exemple, utilisé pour activer le mode de mise à jour du micrologiciel.

Rouge (clignote)

Demande de contact pour l’opération de réinitialisation

Disponible uniquement pendant les 10 premières secondes après la mise sous tension de Nitrokey.

Nécessite un contact de 5 secondes pour être complété ; par exemple, utilisé pour l’opération de réinitialisation de FIDO2.

Vert (constant)

Le toucher est accepté, Nitrokey est actif et accepte d’autres opérations FIDO2.

Après l’enregistrement de la touche, délai de 10 secondes

Pour les opérations d’enregistrement ou d’authentification FIDO, après une confirmation, la Nitrokey entre en mode « activation », acceptant automatiquement les opérations suivantes jusqu’à ce que le bouton tactile soit relâché, mais pas plus de 10 secondes.

Bleu (constant)

Touche consommée - acceptée et consommée par l’opération

Jusqu’à ce que le toucher soit libéré

La consommation tactile signifie ici que sans relâcher le bouton tactile, et en le touchant à nouveau, la Nitrokey ne confirmera pas de nouvelles opérations.

Blanc (clignotement unique)

Nitrokey prêt à fonctionner

0,5 seconde après la mise sous tension

(pas de signal LED)

Nitrokey est inactif

(pas de signal LED)

Auto-acceptation d’une seule opération d’enregistrement ou d’authentification FIDO

Dans les 2 premières secondes après la mise sous tension

Nitrokey accepte automatiquement toute opération d’enregistrement ou d’authentification FIDO lors de l’insertion - cette dernière est traitée comme un équivalent du signal d’enregistrement du bouton tactile (présence de l’utilisateur) ; les opérations de conf iguration/réinitialisation ne sont pas acceptées.

Toutes les couleurs

Nitrokey est en mode de mise à jour du micrologiciel

Actif jusqu’à ce que l’opération de mise à jour du micrologiciel soit réussie, ou jusqu’à la réinsertion.

Si la mise à jour du micrologiciel échoue, la Nitrokey restera dans ce mode jusqu’à ce que le micrologiciel soit écrit correctement.

Dépannage#

Si le Nitrokey n’est pas détecté, procédez comme suit :

  1. Copiez ce fichier 41-nitrokey.rules dans /etc/udev/rules.d/. Dans de très rares cas, le système aura besoin de la ancienne version de ce fichier.

  2. Redémarrez udev via sudo service udev restart.