Authetification Forte - AFUP 2009
Upcoming SlideShare
Loading in...5
×
 

Authetification Forte - AFUP 2009

on

  • 933 views

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre cependant pas le niveau de sécurité requis pour assurer la protection ...

Le mot de passe est actuellement le système le plus couramment utilisé pour identifier un utilisateur. Il n’offre cependant pas le niveau de sécurité requis pour assurer la protection d'informations sensibles.

L'ajout de nouveaux facteurs d'identification permet de régler ce problème. Dans cette présentation nous verrons les concepts de l'authentification forte, la présentation d'alternatives gratuites ou à faible coût.

Statistics

Views

Total Views
933
Views on SlideShare
911
Embed Views
22

Actions

Likes
0
Downloads
25
Comments
0

5 Embeds 22

http://www.scoop.it 8
http://www.slideshare.net 5
http://www.linkedin.com 4
http://www.ph-il.ca 3
http://ph-il.ca 2

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Authetification Forte - AFUP 2009 Authetification Forte - AFUP 2009 Presentation Transcript

    • Ceci n’est pas la tour Eiffel ou l’authentification forte vendredi 13 novembre 2009
    • Qui parle? • Philippe Gamache • Parler Haut, Interagir Librement : Développement Web, audit de sécurité, formations • Coauteur du livre Sécurité PHP 5 et MySQL avec Damien Séguy • Édité chez Eyrolles • Dédicaces sur demande vendredi 13 novembre 2009
    • Je réponds aux questions vendredi 13 novembre 2009
    • Agenda • L’authentification vs l’autorisation • Les problèmes de l’authentification • Le système de mots de passe est brisé • Les solutions • L’authentification forte • Des solutions pour toutes les bourses vendredi 13 novembre 2009
    • Définitions vendredi 13 novembre 2009
    • Définitions • Authentification • Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...). vendredi 13 novembre 2009
    • Définitions • Authentification • Procédure qui permet de vérifier l'identité d'une entité (personne, ordinateur...) pour autoriser l'accès à des ressources (systèmes, réseaux, applications...). • Autorisation • Procédure qui permet l'accès à des ressources uniquement aux personnes autorisées à les utiliser. vendredi 13 novembre 2009
    • Les problèmes • Identifier fidèlement l'entité • Attaque par force brute • Attaque par dictionnaire • Écoute du clavier informatique (keylogger) • Écoute du clavier informatique sans fil vendredi 13 novembre 2009
    • Les problèmes • Identifier fidèlement l'entité • Écoute du réseau (password sniffer) • Hameçonnage • Attaque « homme au milieu» • Ingénierie sociale vendredi 13 novembre 2009
    • Les problèmes • Identifier le type d'entité • Humains • Robots • Sites, services web ou applications • Accessibilité vendredi 13 novembre 2009
    • Le mot de cpasse • Le facteur humain • Donnent ses mots de passe à des étrangers sans raison • 45 % des femmes1 • 10 % des hommes1 • Contre une barre de chocolat • 64 % des gens 1 Infosec Europe conference 2008 vendredi 13 novembre 2009
    • Le mot de cpasse • Chris Nickerson - Exotic Liability #37 vendredi 13 novembre 2009
    • Le mot de cpasse • Chris Nickerson - Exotic Liability #37 vendredi 13 novembre 2009
    • Solutions • Signer le formulaire • Utiliser un témoin • Unique par utilisateur et utilisation sha1($salt . $sessionId . $timestamp) vendredi 13 novembre 2009
    • Solutions • CAPTCHA • Prendre en considération les handicaps http://www.captcha.net/ • reCaptcha http://www.recaptcha.net/ vendredi 13 novembre 2009
    • Identifier fidèlement l'entité • Utiliser des systèmes d'identifications externes éprouvés • Humain • Sites ou applications vendredi 13 novembre 2009
    • Identifier fidèlement les humains • OpenID http://openid.net/ • Facebook Connect http://developers.facebook.com/connect.php vendredi 13 novembre 2009
    • Identifier les sites, services web ou les applications • OAuth http://oauth.net/ • Browser-Based Authentication (BBAuth) http://developer.yahoo.com/auth/ vendredi 13 novembre 2009
    • Identifier les sites, services web ou les applications • AOL Open Authentication API (OpenAuth) http://dev.aol.com/api/openauth • AuthSub Authentication http://code.google.com/apis/accounts/docs/AuthSub.html vendredi 13 novembre 2009
    • Identifier fidèlement l'entité • Utiliser plusieurs facteurs • Facteur mémoriel : ce qu'il sait • Facteur physique ou corporel : ce qu'il est • Facteur réactionnel : ce qu'il sait faire • Facteur matériel : ce qu'il possède vendredi 13 novembre 2009
    • Facteur mémoriel • Mot de passe • Numéro d'identification personnel • Phrase secrète vendredi 13 novembre 2009
    • Facteur mémoriel • Informations personnelles • Nom de votre mère • Nom de votre premier animal • Votre couleur préférée • Date de naissance • Ville de naissance • Adresse • Numéro de téléphone vendredi 13 novembre 2009
    • Facteur physique ou corporel • Photo • Caractéristique physique ou biométrie • Empreinte digitale • Caractéristiques de sa pupille • Rétine • Voix vendredi 13 novembre 2009
    • Facteur réactionnel • Geste • Signature vendredi 13 novembre 2009
    • Facteur matériel • Papiers d'identification • Acte de naissance • Carte grise • Carte d'identité • Droit de propriété • Diplôme • Passeport vendredi 13 novembre 2009
    • Facteur matériel • Carte à puce, bande magnétique ou RFID • Certificat électronique • Témoin de navigateur vendredi 13 novembre 2009
    • Facteur matériel • Mot de passe à usage unique • Jeton • Carte • Papier vendredi 13 novembre 2009
    • Facteur matériel • Clé USB • Téléphone portable • PDA vendredi 13 novembre 2009
    • Exemples vendredi 13 novembre 2009
    • Exemples • Carte bancaire + NIP • Certificat électronique et mot de passe • Nom usager/Mot de passe et mot de passe à usage unique • Numéro de carte bancaire et calculette vendredi 13 novembre 2009
    • Exemples • PayPal • Nom d’usager / Mot de passe • Mot de passe à usage technique vendredi 13 novembre 2009
    • Des solutions pour toutes les bourses vendredi 13 novembre 2009
    • Perfect Paper Passwords • Format carte d'affaires • À imprimer • Gratuit • Fonctionne • Web • Module PAM https://www.grc.com/ppp.htm • Login machine • Login SSH vendredi 13 novembre 2009
    • Perfect Paper • Algorithmique Passwords • Aucun serveur ou service • 16,777,216 mots de passe uniques pour un mot de passe de 4 caractères sur une base de 64 caractères • Nombre de caractères modifiable • Longueurs • Bases vendredi 13 novembre 2009
    • Yubikey • Clé USB = Clavier universel • Identifiant complet et un mot de passe unique • Entre 4 € et 20 € par usager • Fonctionne • Web • Module PAM • Login machine • Login SSH http://www.yubico.com/products/yubikey/ vendredi 13 novembre 2009
    • Yubikey • Utilise un service web • Validation de la clé et mot de passe à usage unique • Serveur Yubico • Serveur personnel (Open Source) • Peut aussi contenir un mot de passe de 32 caractères (version 2) tgbvgflvvndijcfhftgnnldhgviktivhdvnekehejceh tgbvgflvvndiknblilkrtbdvflbdhvdvutlblkfuueel cccccccclildcuhrrhneenjbrrbbnikcvhvbgbcbnvhn cccccccclildibndgdgihuvdcggthnjrbcujdkujnblv vendredi 13 novembre 2009
    • Questions? • info@ph-il.ca • http://www.ph-il.ca • @SecureSyfony • http://www.ph-il.ca/en/conferences • http://www.ph-il.ca/fr/conferences vendredi 13 novembre 2009
    • vendredi 13 novembre 2009