Dvoufaktorové přihlašování do vpsAdminu pomocí TOTP / Two-factor authentication in vpsAdmin using TOTP - News-list

20 May 2019


      Ahoj,
(English version below)
Ve vpsAdminu si nyní můžete nastavit dvoufaktorovu autentizaci (2FA) 
pomocí TOTP [1]. Pro autentizaci můžete používat např. mobil s aplikací 
Google Authenticator [2], FreeOTP [3], nebo libovolný program 
implementující TOTP. Pro nastavení stačí do aplikace naskenovat QR kód, 
popř. opsat tajný klíč. Aplikace je pak kdykoli schopna zobrazit 
aktuální heslo pro přihlášení, které se mění každých 30 sekund.
Do vpsAdminu si takto můžete přidat více autentizačních zařízení a k 
přihlášení půjde využít kterékoli z nich, co máte zrovna po ruce. 
Dvoufaktorová autentizace je vynucena máte-li nastaveno a povoleno 
alespoň jedno zařízení. Bez tohoto zařízení se do vpsAdminu 
nepřihlásíte: ani do webového rozhraní [4], ani u API [5].
Pokud náhodou o svoje autentizační zařízení přijdete, můžete použít 
obnovovací kód, který vám vpsAdmin při nastavení zařízení jednorázově 
zobrazí.
Postup nastavení i se screenshoty je popsán v KB:
https://kb.vpsfree.cz/navody/vps/uzivatele#dvoufaktorove_prihlasovani_2fa
Zavedení 2FA si vyžádalo zpětně nekompatibilní změnu v protokolu HaveAPI 
[6], takže pokud používáte vpsfreectl [7] nebo jinou knihovnu pro 
přístup k API [8], musíte aktualizovat.
ENGLISH:
TOTP [1] based two-factor authentication (2FA) can now be configured in 
vpsAdmin. You can use it e.g. with smartphone applications like Google 
Authenticator [2], FreeOTP [3], or really any program implementing TOTP. 
It is very easy to configure, vpsAdmin will show you a QR code which you 
then scan into the application. Alternatively, you can enter the secret 
key manually. The application is then able to show you the current 
one-time password to log in. The password changes every 30 seconds.
It is possible to configure multiple authentication devices like this. 
Any one of the configured devices can be used to log in. 2FA is enforced 
when there is at least one authentication device enabled. Without this 
device, you will not be able to log into vpsAdmin. Both the web 
interface [4] and the API [5] support and enforce 2FA.
Should you lose your only authentication device, you can use a recovery 
code which vpsAdmin will show you after the device has been configured.
See our KB for more information:
https://kb.vpsfree.org/manuals/vps/users#two-factor_authentication_2fa
The introduction of 2FA forced us to make a backward-incompatible change 
in the HaveAPI protocol [6], which powers our API. If you're using 
vpsfreectl [9] or any other client library [10], you will have to upgrade.
[1] https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm
[2] 
https://play.google.com/store/apps/details?id=com.google.android.apps.authen...
[3] https://freeotp.github.io/
[4] https://vpsadmin.vpsfree.cz
[5] https://api.vpsfree.cz
[6] https://github.com/vpsfreecz/haveapi
[7] https://kb.vpsfree.cz/navody/vps/api#cli
[8] https://kb.vpsfree.cz/navody/vps/api#prace_s_api
[9] https://kb.vpsfree.org/manuals/vps/api#cli
[10] https://kb.vpsfree.org/manuals/vps/api#working_with_the_api
Jakub