Il n'y a aucune configuration pour l'authentification à deux facteurs et le protocole TOTP sera le seul proposé. Une classe unique compose la librairie de gestion OTP (One Time Password) proposant les deux facettes de ce protocole qui sont par temps TOTP ou par compteur HOTP. Une seconde classe vient surcharger celle-ci pour coller à la partie backend de Dotclear qui utilise TOTP.
Dans le premier onglet des préférences utilisateur une partie est dédiée à l'Authentification à deux facteurs. Si l'utilisateur n'a pas encore vérifié un code alors l'authentification pour cette utilisateur est désactivé.
Il faut scanner avec son téléphone mobile (par exemple) le QR code, cela va ouvrir l'application d'authentification et propser un code qu'il faudra renseigner dans le formulaire pour activer le 2FA (Authentification à deux facteurs). Si aucune application d'authentification n'est présente sur le téléphone il faut en installer une, Microsoft Authenticator, Google Authenticator, etc...
Si un code est vérifié, l'authentification à deux facteurs lui sera demander uniquement lors de la phase d'authentification par login et mot de passe (pas pour les éventuelles autres méhodes).
Si l'utilisateur à perdu le générateur de code sur sont téléphone mobile, il est alors obligé de suivre la procédure de perte de mot de passe de Dotclear qui désactivera l'authentification à deux facteurs. Il peut également desactiver cette authentification dans les préferences utilisateur. Il peut également y générer une nouveau secret qu'il faudra alors à nouveau scanner dans son application.