Quels sont les 4 grands type d’authentification des usagers?
- Par quelque chose qu’il connait ( mdp)
- par quelque chose qu’il possède ( carte magnétique, à puce)
- par quelques chose qu’il est ( biométrique statique, empreinte, rétine, main)
- par quelque chose qu’il fait ( biométrique dynamique, signature, voix, rythme au clavier)
Quel est le modèle général de l’authentification par mot de passe?
1) saisie de l’information ( enregistrement du MP)
2) Conservation en base de données ( vers 3)
3) comparaison –> (décision)
4) saisie de l’information login (vers 4)
Qu’est-ce qu,ne fonction de hachage cryptographique?
Une fonction h() est dite de hachage cryptographique si à partir d’un message x, elle produit un “hachage” h(x)
Qu’est-ce que l’absence de collision faible?
Il est très difficile de trouve un x’ à partir de h(x) tel que h(x) = h(x’)
Qu’est-ce que l’absence de collision forte?
Il est très difficile de trouver un deux message de notre choix x et x’ tel que h(x) = h(x’)( implique absence de collision faible et à sens unique)
Qu’est-ce la caractéristique à sens unique d’une fonction de hachage?
il est très difficile de trouver x à partie de h(x) = h(x’)
Nommez 4-5 exemples de fonctions de hachage cryptographiques
MD4 ( un peu comme DES, 128 bits)
MD5( collisions en quelques heures, fonction linux md5sum)
SHA-1 (160 bits, collision possible)
sha-2, sha-3
Quel est le modèle générale de l’authentification par mot de passe avec le hachage cryptographique?
1) saisie de l’information ( enregistrement du MP)
2) extraction unidirectionnelle (haché)
3) Conservation en base de données ( vers 4)
4) comparaison –> (décision)
5) extraction unidirectionnelle (haché) (vers 4)
6) saisie de l’information login (vers 4)
Qu’est-ce qu’une attaque dictionnaire?
construire une liste de mdp possibles, pour chaque mdp calculer son hach et le stocker dans une table de paire (mdp, hash), voler une base de données de mdp haché et chercher le mot de passe pi correspondant à l’utilisateur ui avec hash hi en cherchant si hi existe dans la table T. s’il lexiste, le mdp est wj.
Quel défense pour une attaque de “deviner le mdp”?
online : nb limité d’essais, CAPTCHA, délais après chaque mauvais essaies
offline : hash itération( hacher d fois le mdp avant de le stocker. d = 1000 limite la vitesse de l’attaque par un facteur de 1000), fonction de hash spécialisé ( ARGON, bcrypt, scrypt), salt : ajouter une valeur de haute entropie et stocker ui, si, H(pi + si))
Nommez plusieurs techniques de base sur les mots de passe?
- Capture et lire le fichier de mdp( surtout si non haché)
- Deviner mdp
- Capturer le mot de passe ( keylogger, post-it, etc)
- Demander à l’usager (social engineering)
Quels sont les vulnérabilités de mots de passe?
- Mots de passe probable (court, dictionnaire)
- mot de passe avec lien avec l’usage ( infos personnel, familiale)
- Mauvaise protection des fichiers de mots de passe
- pas d’authentification du système
( problème de base : faible entropie des choix de mdp)
Quels sont les contremesures pour les attaques de mots de passe?
- Algos unidirectionnel ( variation aléatoire pour permettre plus d’une variation possible(salt), utilisation hachage sécuritaire)
- choix du mdp ( plus de 26 cractères, maj, min chiffres et symboles spéciaux, mdp sufisamment long (phrase de passe), éviter des mots du dictionnaires)
- Politique de gestion de mot de passe (expiration mdp, mdp à usage unique ( un mdp, un système), contrôle de mécanismes de mise à zéro)
Qu’es-ce qu’un gestionnaire de mot de passe?
permet de stocker des mdps, un mdp maitre pour protéfer plusieurs mdp ( SSO)
Quels sont les avantages d’un gestionnaire de mdp?
Sécurité : - mdp généré automatiquement avec plus d'entropie Convivialité: - auto remplissage des champs de mdp - génération automatique de mdp
Quels sont les avantages d’un gestionnaire de mdp?
- Difficulté de synchronisation entre plusieurs PC
- Comment choisir un bon mdp maitre
- Point de défaillance unique
Décrit la récupération de mdp
Le serveur envoi par courriel un mdp temporaire , communication par courriel pas chiffré
Question secrètes :
- lors de l’enregistrement, l’utilisateur répond des questions prédéfinies
- Basse entropie pour les questions et souvent pour les réponses
Qu’est-ce que l’authentification à deux facteurs (2FA)
Combiner au moins 2 facteurs d’authentification
- chaque facteur à besoin d’une attaque différente
- ex : mp + {biométrie ou jeton}
quels sont les 3 méthodes de 2FA?
Méthode simple : tous les facteurs vérifés localement par serveur d’auth
Méthode treshold :
n de m facteurs doivent être correct
méthode OTP :
MP + mdp à usage unique (méthode local ou remote)
Décrit la méthode OTP local
1) enregistrement du device( secret S généré à partir du device ID et une clé maitre
S = h (k, ID)
2) OTP généré localement par dispositif (OTP = h(s, timestramp)
3) OTP envoyé par usager via internet
4) serveur vérifie ( identifie bon ID à partir de nom d’usage, calcule S et h(S, timestamp) et vérifie égale à OTP envoyé
Décrit la méthode OTP remote
1) usager se connecte en indiquant usager et MP
2) serveur calcule OTP aléatoire
3) serveur obitent no. de téléhpone d’usage sur BD
4) serveur envoie OTP au téléhpone par un autre canal( ex sms)
5) usager entre OTP et envoie via internet
Quels sont les avantages et désavantages de la méthode OTP remote?
Avantages : force Ève à intercepter deux canaux indépendants
Désavantage : Force usager à être sur réseau cellulaire ou avoir un accès à un deuxième canal
Caractéristiques de l’authentification par possession d’un objet unique
- Doit être vraiment unique, possiblement sans BD et difficile/couteux à reproduire.
Quels sont les faiblesses de l’authentification par possession d’un objet unique?
coût, possibilité de falsification, perte ou vol
