Double authentification (MFA)

Revault prend en charge la double authentification (MFA) par code temporaire TOTP (RFC 6238), compatible avec les applications d'authentification standard : Google Authenticator, Microsoft Authenticator, 1Password, Authy, etc.

La MFA se configure par compte : chaque utilisateur l'active pour lui-même. Une fois active, un code à 6 chiffres est demandé à chaque connexion, après l'e-mail et le mot de passe.

Activer la MFA

Depuis Paramètres → Profil → Double authentification :

1. Cliquez sur Activer. Revault génère un secret et affiche un QR code.
2. Scannez le QR code avec votre application d'authentification (ou saisissez la clé manuellement). L'entrée apparaît sous le nom Revault avec votre e-mail.
3. Saisissez le code à 6 chiffres affiché par l'application pour confirmer, puis validez.

La MFA est alors active sur votre compte. Le secret n'est jamais stocké en clair : il est chiffré au repos (voir Chiffrement).

Se connecter avec la MFA

Quand la MFA est active, la connexion se fait en deux étapes :

1. e-mail + mot de passe ;
2. code à 6 chiffres de l'application d'authentification.

Entre les deux étapes, aucune session n'est ouverte : un jeton intermédiaire à courte durée de vie (5 minutes) sert uniquement à porter la vérification du code. La session n'est créée qu'après un code valide.

Désactiver la MFA

Depuis Paramètres → Profil → Double authentification, cliquez sur Désactiver et confirmez avec un code valide en cours. Cela supprime le secret du compte ; la connexion redevient à une seule étape.

Recommandations

• Activez la MFA en priorité sur les comptes admin.
• Combinez-la avec un mot de passe fort (minimum 10 caractères) et des sessions révocables.