Outils pour utilisateurs
mfa:mfasshotp_ressources
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Prochaine révision | Révision précédente | ||
|
mfa:mfasshotp_ressources [2024/04/10 14:44] techer.charles_educ-valadon-limoges.fr créée |
mfa:mfasshotp_ressources [2024/04/10 14:57] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Retour Accueil Authentification multifacteur] |
||
|---|---|---|---|
| Ligne 3: | Ligne 3: | ||
| ==== HOTP ==== | ==== HOTP ==== | ||
| - | **HOTP** (pour HMAC One Time Password) est un mécanisme d’authentification reposant sur l’utilisation d’une **clé secrète** et d’un **compteur commun** entre le **client** et le **serveur*. | + | **HOTP** (pour HMAC One Time Password) est un mécanisme d’authentification reposant sur l’utilisation d’une **clé secrète** et d’un **compteur commun** entre le **client** et le **serveur**. |
| <WRAP center round info> | <WRAP center round info> | ||
| **HOTP** ne nécessite donc pas l’utilisation d’une horloge. | **HOTP** ne nécessite donc pas l’utilisation d’une horloge. | ||
| Ligne 13: | Ligne 13: | ||
| {{ : | {{ : | ||
| ==== TOTP ==== | ==== TOTP ==== | ||
| + | Un mot de passe à usage unique **basé sur le temps** (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à **usage unique**. | ||
| + | TOTP permet la **génération d’une séquence de caractères** valable seulement pendant un **intervalle de temps limité** afin de constituer un mécanisme de double authentification. C’est une extension du mot de passe à usage unique basé sur HMAC. | ||
| + | <WRAP center round info> | ||
| + | Contrairement à HOTP qui nécessite un compteur incrémental partagé entre les deux entités pour garantir l' | ||
| + | |||
| + | </ | ||
| - | Un mot de passe à usage unique basé sur le temps (TOTP, Time based One Time Password en anglais) est un algorithme permettant de générer un mot de passe à usage unique. | + | Un intervalle de temps de validité est défini pour tolérer une désynchronisation des horloges. |
| - | Ainsi, TOTP permet la génération d’une séquence de caractères valable seulement pendant un intervalle de temps limité afin de constituer un mécanisme de double authentification. C’est une extension du mot de passe à usage unique basé sur HMAC. Contrairement à HOTP qui nécessite un compteur incrémental partagé entre les deux entités pour garantir l' | + | |
| Source : Wikipédia | Source : Wikipédia | ||
| - | Phase d’enregistrement | + | === Phase d’enregistrement |
| + | {{ : | ||
| + | |||
| + | === Phase d’authentification === | ||
| + | {{ : | ||
| - | Phase d’authentification | ||
| Dans le schéma ci-dessus, nous constatons que la clé secrète est commune et qu’elle a été transmise au client lors de la phase d’enregistrement. L’avantage de passer par une clé de sécurité est de pouvoir stocker cette clé secrète sur un matériel spécifique et non directement sur le smartphone ou sur l’ordinateur client. | Dans le schéma ci-dessus, nous constatons que la clé secrète est commune et qu’elle a été transmise au client lors de la phase d’enregistrement. L’avantage de passer par une clé de sécurité est de pouvoir stocker cette clé secrète sur un matériel spécifique et non directement sur le smartphone ou sur l’ordinateur client. | ||
| - | • Attention ! Contrairement à la norme FIDO 2, TOTP ne protège pas d’un certain nombre d’attaques (phishing, fuite du secret commun sur le serveur). Cette méthode d’authentification | + | <WRAP center round important> |
| - | Challenge-réponse | + | |
| - | Certaines applications ou certains systèmes nécessitent que l’utilisateur configure l’authentification par challenge-réponse sur un slot particulier de la clé de sécurité. | + | **Attention !** TOTP ne protège pas d’un certain nombre d’attaques (phishing, fuite du secret commun sur le serveur). Cette méthode d’authentification ne respecte pas l’état de l’art. |
| - | Deux algorithmes sont supportés par la yubikey : | + | </ |
| - | • Yubico OTP | + | |
| - | • HMAC SHA1 | + | ===== Rappel concernant |
| - | Le système d’authentification basé sur HMAC-SHA1 fonctionne de la manière suivante : | + | |
| - | 1. L’application (ou le système) et la yubikey dispose de la même clé secrète. | + | |
| - | 2. La yubikey doit être connectée sur l’hôte. | + | |
| - | 3. L’application ou le système présent sur l’hôte envoie un challenge sur le slot défini dans la yubikey. | + | |
| - | 4. La yubikey reçoit le challenge et génère une signature symétrique (appelée aussi motif d’intégrité) à l’aide de la clé secrète et de l’algorithme cryptographique type HMAC SHA-1 présents sur le slot. | + | |
| - | 5. La yubikey renvoie cette empreinte à l’application ou au système. | + | |
| - | 6. Cette dernière réalise la même opération sur le challenge d’origine à l’aide de la même clé secrète et du même algorithme. Elle compare ensuite l’empreinte qu’elle vient d’obtenir avec celle envoyée par la yubikey. Si les deux empreintes sont identiques, l’authentification est validée. | + | |
| - | Source : https:// | + | |
| - | • Attention ! L’algorithme de hachage SHA-1 est considéré comme déprécié. L’ANSSI préconise l’utilisation de SHA-2 et SHA-3. La CNIL, quant à elle, pourra sanctionner l’usage de cet algorithme obsolète dans des mécanismes | + | |
| - | OpenPGP | + | |
| - | Pretty Good Privacy, plus connu sous le sigle PGP, est un outil mettant en œuvre des algorithmes cryptographiques hybrides (asymétrique et symétrique) permettant entre autres de chiffrer et signer des données. Il a été développé et diffusé aux États-Unis par Philip Zimmermann en 1991. | + | |
| - | Source : Wikipédia | + | |
| - | Le dernier standard de PGP est défini dans la RFC 4880. Il a connu de nombreuses évolutions et ne correspond plus au standard originel créé par P. Zimmermann. OpenPGP est un standard alors que PGP et GnuPG en sont des implémentations logicielles. | ||
| - | La génération d’une paire de clés PGP peut se faire sur n’importe quelle machine à l’aide d’outils spécifiques tels que GnuPG. La problématique du chiffrement à clé publique est la conservation de la clé privée. En effet, si cette clé est dérobée par un attaquant, c’est l’ensemble du système de chiffrement ou de signature qui est compromis. | ||
| - | La yubikey permet ainsi de stocker la clé privée en dehors de l’ordinateur et de la rendre accessible par l’intermédiaire d’un code PIN à saisir. Après 3 échecs dans la saisie du code PIN, l’accès à la clé privée est verrouillée. Le fait de stocker la clé privée sur une clé de sécurité réduit de manière considérable les risques de compromission. | ||
| - | Smart Card (PIV) | ||
| - | PIV est une norme ouverte couramment utilisée dans les organisations commerciales et gouvernementales pour l’identification à deux facteurs, la signature numérique et le chiffrement. Elle repose sur l’utilisation de certificats et le stockage de la clé privée sur la yubikey. Elle se rapproche ainsi des principes exposés précédemment avec OpenPGP. | ||
| - | RAPPEL CONCERNANT LES FACTEURS D’AUTHENTIFICATION | ||
| Voici les catégories de facteur d’authentification : | Voici les catégories de facteur d’authentification : | ||
| - | • facteur de connaissance : « ce que je sais », il s’agit d’une connaissance mémorisée ; | + | * **facteur de connaissance** : « ce que je sais », il s’agit d’une connaissance mémorisée ; |
| - | • facteur de possession : « ce que je possède », il s’agit d’un élément secret non mémorisable contenu dans un objet physique qui protège cet élément de toute extraction ; | + | * **facteur de possession** : « ce que je possède », il s’agit d’un élément secret non mémorisable contenu dans un objet physique qui protège cet élément de toute extraction ; |
| - | • facteur inhérent : « ce que je suis », il s’agit d’une caractéristique physique indissociable d’une personne (ADN, empreinte digitale, empreinte rétinienne). | + | * **facteur inhérent** : « ce que je suis », il s’agit d’une caractéristique physique indissociable d’une personne (ADN, empreinte digitale, empreinte rétinienne). |
| - | • Selon l’ANSSI, le facteur inhérent n’est recommandé qu’avec l’usage d’un facteur de possession dans le but du déverrouillage d’un élément permettant l’authentification forte. | + | <WRAP center round info> |
| + | Selon l’ANSSI, le **facteur inhérent** n’est recommandé qu’avec l’usage d’un facteur de possession dans le but du déverrouillage d’un élément permettant l’authentification forte. | ||
| + | </ | ||
| + | ===== Rappel concernant la différence entre authentification multifacteur et authentification forte ===== | ||
| + | En langue française, l’authentification **multifacteur** est souvent **confondue** avec l’appellation authentification **forte** (ou robuste), ce qui laisserait entendre qu’une authentification multifacteur est nécessairement plus robuste qu’une authentification avec un unique facteur. | ||
| - | RAPPEL CONCERNANT LA DIFFERENCE ENTRE AUTHENTIFICATION MULTIFACTEUR ET AUTHENTIFICATION FORTE | + | Il convient ainsi de différencier |
| - | En langue française, l’authentification multifacteur | + | |
| - | Il convient ainsi de différencier authentification multifacteur et authentification forte. D’une part, une authentification multifacteur est une authentification faisant intervenir plusieurs catégories de facteurs. Néanmoins, ces facteurs, pris indépendamment ou ensemble, ne sont pas forcément considérés comme étant forts (un exemple typique étant un mot de passe associé à un code temporaire reçu par SMS). | + | D’autre part, une **authentification forte** (qui repose généralement sur un facteur unique) est une **authentification reposant sur un mécanisme cryptographique** dont les paramètres et la sécurité sont jugés robustes (l’élément secret est alors généralement une clé cryptographique). |
| - | + | ||
| - | D’autre part, une authentification forte (qui repose généralement sur un facteur unique) est une authentification reposant sur un mécanisme cryptographique dont les paramètres et la sécurité sont jugés robustes (l’élément secret est alors généralement une clé cryptographique). | + | |
| Source : Guide de « Recommandations relatives à l’authentification multifacteur et aux mots de passe » publié par l’ANSSI | Source : Guide de « Recommandations relatives à l’authentification multifacteur et aux mots de passe » publié par l’ANSSI | ||
| + | ====== Retour Accueil Authentification multifacteur ====== | ||
| + | |||
| + | * [[mfa: | ||
mfa/mfasshotp_ressources.1712753054.txt.gz · Dernière modification: 2024/04/10 14:44 de techer.charles_educ-valadon-limoges.fr
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
