0
Ceci n’est
                 pas la tour
                   Eiffel
              ou l’authentification
                     ...
Qui parle?
                            • Philippe Gamache
                            • Parler Haut, Interagir
           ...
Je réponds aux
                               questions
vendredi 13 novembre 2009
Agenda
                            • L’authentification vs l’autorisation

                            • Les problèmes de l...
Définitions




vendredi 13 novembre 2009
Définitions
                            • Authentification

                              • Procédure qui permet de vérifier ...
Définitions
                            • Authentification

                              • Procédure qui permet de vérifier ...
Les problèmes
                            • Identifier fidèlement l'entité

                               • Attaque par for...
Les problèmes
                            • Identifier fidèlement l'entité

                               • Écoute du résea...
Les problèmes
                            • Identifier le type d'entité

                               • Humains

        ...
Le mot de cpasse
                            • Le facteur humain
                              • Donnent ses mots de passe...
Le mot de cpasse


                            • Chris Nickerson - Exotic Liability #37




vendredi 13 novembre 2009
Le mot de cpasse


                            • Chris Nickerson - Exotic Liability #37




vendredi 13 novembre 2009
Solutions
                            • Signer le formulaire

                            • Utiliser un témoin

          ...
Solutions
                            • CAPTCHA

                               • Prendre en
                             ...
Identifier fidèlement
                                   l'entité
                            • Utiliser des systèmes d'iden...
Identifier fidèlement
                                les humains

                            • OpenID
                    ...
Identifier les sites, services
                              web ou les applications


                            • OAuth
...
Identifier les sites, services
                              web ou les applications

                            • AOL Ope...
Identifier fidèlement
                                   l'entité
                            • Utiliser plusieurs facteurs
...
Facteur mémoriel

                            • Mot de passe

                            • Numéro
                       ...
Facteur mémoriel

                            • Informations personnelles
                               • Nom de votre mè...
Facteur physique
                                    ou corporel
                            • Photo
                     ...
Facteur réactionnel


                            • Geste

                            • Signature




vendredi 13 novembr...
Facteur matériel
                            • Papiers
                              d'identification

                    ...
Facteur matériel

                            • Carte à puce, bande
                              magnétique ou RFID

    ...
Facteur matériel

                            • Mot de passe à usage
                              unique

               ...
Facteur matériel

                            • Clé USB

                            • Téléphone portable

               ...
Exemples




vendredi 13 novembre 2009
Exemples

                            • Carte bancaire + NIP

                            • Certificat électronique et mot ...
Exemples

                            • PayPal

                              • Nom d’usager / Mot de
                    ...
Des solutions pour
                            toutes les bourses


vendredi 13 novembre 2009
Perfect Paper
                                    Passwords
                 •    Format carte d'affaires
                ...
Perfect Paper
                 • Algorithmique
                                       Passwords
                   • Aucun...
Yubikey
                 • Clé USB = Clavier universel
                 • Identifiant complet et un mot de
                ...
Yubikey
                 • Utilise un service web
                   • Validation de la clé et mot de
                    ...
Questions?

                   • info@ph-il.ca

                   • http://www.ph-il.ca

                   • @SecureSyfo...
vendredi 13 novembre 2009
Upcoming SlideShare
Loading in...5
×

Authetification Forte - AFUP 2009

608

Published on

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre cependant pas le niveau de sécurité requis pour assurer la protection d'informations sensibles.

L'ajout de nouveaux facteurs d'identification permet de régler ce problème. Dans cette présentation nous verrons les concepts de l'authentification forte, la présentation d'alternatives gratuites ou à faible coût.

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
608
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Authetification Forte - AFUP 2009"

  1. 1. Ceci n’est pas la tour Eiffel ou l’authentification forte vendredi 13 novembre 2009
  2. 2. Qui parle? • Philippe Gamache • Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations • Coauteur du livre Sécurité PHP 5 et MySQL avec Damien Séguy • Édité chez Eyrolles • Dédicaces sur demande vendredi 13 novembre 2009
  3. 3. Je réponds aux questions vendredi 13 novembre 2009
  4. 4. Agenda • L’authentification vs l’autorisation • Les problèmes de l’authentification • Le système de mots de passe est brisé • Les solutions • L’authentification forte • Des solutions pour toutes les bourses vendredi 13 novembre 2009
  5. 5. Définitions vendredi 13 novembre 2009
  6. 6. Définitions • Authentification • Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...). vendredi 13 novembre 2009
  7. 7. Définitions • Authentification • Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...). • Autorisation • Procédure qui permet l'accès à des ressources uniquement aux personnes autorisées à les utiliser. vendredi 13 novembre 2009
  8. 8. Les problèmes • Identifier fidèlement l'entité • Attaque par force brute • Attaque par dictionnaire • Écoute du clavier informatique (keylogger) • Écoute du clavier informatique sans fil vendredi 13 novembre 2009
  9. 9. Les problèmes • Identifier fidèlement l'entité • Écoute du réseau (password sniffer) • Hameçonnage • Attaque « homme au milieu» • Ingénierie sociale vendredi 13 novembre 2009
  10. 10. Les problèmes • Identifier le type d'entité • Humains • Robots • Sites, services web ou applications • Accessibilité vendredi 13 novembre 2009
  11. 11. Le mot de cpasse • Le facteur humain • Donnent ses mots de passe à des étrangers sans raison • 45 % des femmes1 • 10 % des hommes1 • Contre une barre de chocolat • 64 % des gens 1 Infosec Europe conference 2008 vendredi 13 novembre 2009
  12. 12. Le mot de cpasse • Chris Nickerson - Exotic Liability #37 vendredi 13 novembre 2009
  13. 13. Le mot de cpasse • Chris Nickerson - Exotic Liability #37 vendredi 13 novembre 2009
  14. 14. Solutions • Signer le formulaire • Utiliser un témoin • Unique par utilisateur et utilisation sha1($salt . $sessionId . $timestamp) vendredi 13 novembre 2009
  15. 15. Solutions • CAPTCHA • Prendre en considération les handicaps http://www.captcha.net/ • reCaptcha http://www.recaptcha.net/ vendredi 13 novembre 2009
  16. 16. Identifier fidèlement l'entité • Utiliser des systèmes d'identifications externes éprouvés • Humain • Sites ou applications vendredi 13 novembre 2009
  17. 17. Identifier fidèlement les humains • OpenID http://openid.net/ • Facebook Connect http://developers.facebook.com/connect.php vendredi 13 novembre 2009
  18. 18. Identifier les sites, services web ou les applications • OAuth http://oauth.net/ • Browser-Based Authentication (BBAuth) http://developer.yahoo.com/auth/ vendredi 13 novembre 2009
  19. 19. Identifier les sites, services web ou les applications • AOL Open Authentication API (OpenAuth) http://dev.aol.com/api/openauth • AuthSub Authentication http://code.google.com/apis/accounts/docs/AuthSub.html vendredi 13 novembre 2009
  20. 20. Identifier fidèlement l'entité • Utiliser plusieurs facteurs • Facteur mémoriel : ce qu'il sait • Facteur physique ou corporel : ce qu'il est • Facteur réactionnel : ce qu'il sait faire • Facteur matériel : ce qu'il possède vendredi 13 novembre 2009
  21. 21. Facteur mémoriel • Mot de passe • Numéro d'identification personnel • Phrase secrète vendredi 13 novembre 2009
  22. 22. Facteur mémoriel • Informations personnelles • Nom de votre mère • Nom de votre premier animal • Votre couleur préférée • Date de naissance • Ville de naissance • Adresse • Numéro de téléphone vendredi 13 novembre 2009
  23. 23. Facteur physique ou corporel • Photo • Caractéristique physique ou biométrie • Empreinte digitale • Caractéristiques de sa pupille • Rétine • Voix vendredi 13 novembre 2009
  24. 24. Facteur réactionnel • Geste • Signature vendredi 13 novembre 2009
  25. 25. Facteur matériel • Papiers d'identification • Acte de naissance • Carte grise • Carte d'identité • Droit de propriété • Diplôme • Passeport vendredi 13 novembre 2009
  26. 26. Facteur matériel • Carte à puce, bande magnétique ou RFID • Certificat électronique • Témoin de navigateur vendredi 13 novembre 2009
  27. 27. Facteur matériel • Mot de passe à usage unique • Jeton • Carte • Papier vendredi 13 novembre 2009
  28. 28. Facteur matériel • Clé USB • Téléphone portable • PDA vendredi 13 novembre 2009
  29. 29. Exemples vendredi 13 novembre 2009
  30. 30. Exemples • Carte bancaire + NIP • Certificat électronique et mot de passe • Nom usager/Mot de passe et mot de passe à usage unique • Numéro de carte bancaire et calculette vendredi 13 novembre 2009
  31. 31. Exemples • PayPal • Nom d’usager / Mot de passe • Mot de passe à usage technique vendredi 13 novembre 2009
  32. 32. Des solutions pour toutes les bourses vendredi 13 novembre 2009
  33. 33. Perfect Paper Passwords • Format carte d'affaires • À imprimer • Gratuit • Fonctionne • Web • Module PAM https://www.grc.com/ppp.htm • Login machine • Login SSH vendredi 13 novembre 2009
  34. 34. Perfect Paper • Algorithmique Passwords • Aucun serveur ou service • 16,777,216 mots de passe uniques pour un mot de passe de 4 caractères sur une base de 64 caractères • Nombre de caractères modifiable • Longueurs • Bases vendredi 13 novembre 2009
  35. 35. Yubikey • Clé USB = Clavier universel • Identifiant complet et un mot de passe unique • Entre 4 € et 20 € par usager • Fonctionne • Web • Module PAM • Login machine • Login SSH http://www.yubico.com/products/yubikey/ vendredi 13 novembre 2009
  36. 36. Yubikey • Utilise un service web • Validation de la clé et mot de passe à usage unique • Serveur Yubico • Serveur personnel (Open Source) • Peut aussi contenir un mot de passe de 32 caractères (version 2) tgbvgflvvndijcfhftgnnldhgviktivhdvnekehejceh tgbvgflvvndiknblilkrtbdvflbdhvdvutlblkfuueel cccccccclildcuhrrhneenjbrrbbnikcvhvbgbcbnvhn cccccccclildibndgdgihuvdcggthnjrbcujdkujnblv vendredi 13 novembre 2009
  37. 37. Questions? • info@ph-il.ca • http://www.ph-il.ca • @SecureSyfony • http://www.ph-il.ca/en/conferences • http://www.ph-il.ca/fr/conferences vendredi 13 novembre 2009
  38. 38. vendredi 13 novembre 2009
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×