Vaultwarden : activer la double authentification

La double authentification TOTP ajoute un code temporaire à la connexion Vaultwarden, en plus du mot de passe principal.

Prérequis

• Un compte sur vault.exemple.fr.
• Une application TOTP : Aegis, FreeOTP, Authy ou équivalent.

1. Ouvrir les paramètres de sécurité

Interface web → Paramètres → Connexion en deux étapes.

2. Activer l’application d’authentification

Repérer Application d'authentification → Gérer. Saisir le mot de passe principal pour confirmer.

3. Enregistrer le secret TOTP

Un QR code et une clé textuelle s’affichent. Scanner le QR code avec l’application TOTP, ou saisir la clé manuellement. L’application génère alors un code à 6 chiffres.

4. Valider

Saisir le code à 6 chiffres affiché par l’application dans le champ prévu, cliquer Activer.

5. Conserver le code de récupération

Menu Connexion en deux étapes → Voir le code de récupération. Saisir le mot de passe principal, copier le code et le ranger hors ligne. Il désactive la 2FA en cas de perte de l’appareil.

Vérification

Se déconnecter puis se reconnecter : après le mot de passe principal, Vaultwarden réclame le code TOTP. La page Connexion en deux étapes affiche la méthode Application d'authentification comme Activée.

Dépannage

• « Code invalide » : horloge de l’appareil désynchronisée ; activer l’heure réseau automatique.
• Appareil perdu : utiliser le code de récupération pour désactiver la 2FA, puis réenrôler.
• Aucun code de récupération conservé : un administrateur peut désactiver la 2FA d’un membre d’organisation côté serveur.
• 2FA non proposée : fonctionnalité restreinte par la politique d’instance ou par l’organisation.