authentification forte cours uni 2002
DESCRIPTION
Cours Uni Genève 2002TRANSCRIPT
![Page 1: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/1.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
La citadelle électroniqueSystèmes d’authentifications
Sylvain Maret([email protected])
Novembre 2002Version 1.12
![Page 2: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/2.jpg)
Solutions à la clef
Agenda
Introduction Elements d’un système d’authentification Les attaques Facteurs d’authentifications Que sécuriser ? Quelle technologie d’authentification ?
![Page 3: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/3.jpg)
Solutions à la clef
Agenda
Les « Tokens » Challenge Response Authentification indirecte Kerberos Biométrie
![Page 4: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/4.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Introduction
![Page 5: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/5.jpg)
Solutions à la clef
Introduction
Tour d’horizon des technologies d’authentification
Clé de voute pour la construction de la citadelle électronique
1er besoin pour la sécurité du système d’information
![Page 6: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/6.jpg)
Solutions à la clef
Authentification…
L’identification et l’authentification sont la base des services de sécurité
Autorisation Auditing Non répudiation Confidentialité
![Page 7: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/7.jpg)
Solutions à la clef
Identification et authentification ?
Identification Qui êtes vous ?
Authentification Prouvez le !
![Page 8: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/8.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Elements d’un système d’authentification
![Page 9: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/9.jpg)
Solutions à la clef
Les 6 élements d’un système d’authentification
Entité ou personne Charactéristique Unique Propriétaire du système Mécanisme d’authentification Mécanisme de contrôle d’accès Mécanisme d’archivage
![Page 10: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/10.jpg)
Solutions à la clef
Exemple avec Ali Baba …
Entité La personne qui connait le mot de passe
Caractéristique Unique Le mot de passe: « Sésame, ouvre toi ! »
Le propriétaire de la caverne Ali Baba et Les 40 voleurs
![Page 11: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/11.jpg)
Solutions à la clef
Exemple avec Ali Baba
Mécanisme d’authentification Elément magique qui répond au mot de passe
Mécanisme de contrôle d’accès Mécanisme pour rouler la pierre ou les pierres
Mécanisme d’archivage Journal des évenements
![Page 12: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/12.jpg)
Solutions à la clef
Login par mot de passe
Mécanismed’authentification
LoginProcess
Mécanisme de contrôleD’accès
PropriétaireLa personne
Caractéristique uniqueMot de passe
ComputerRessources
MécanismeD’archivage
![Page 13: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/13.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les attaques
![Page 14: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/14.jpg)
Solutions à la clef
Les attaques courantes…
Brute force - Password Guessing Network Sniffing
ARP spoofing Environement « Switché »
Cheval de Troie, Back Door (Virus) Social Engineering
![Page 15: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/15.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Facteurs d’authentifications
![Page 16: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/16.jpg)
Solutions à la clef
Les facteurs d’authentification
Quelque chose que l’on connait PIN, Mot de passe, etc.
Quelque chose que l’on possède Tokens, Carte à puce, badge, etc.
Quelque chose que l’on est Biométrie
![Page 17: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/17.jpg)
Solutions à la clef
Authentification forte
Un minimum de deux facteurs Smartcard + PIN Token + PIN Biométrie avec Smartcard Etc.
![Page 18: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/18.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Que sécuriser ?
![Page 19: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/19.jpg)
Solutions à la clef
Que sécuriser ?
Equipements réseaux Routeurs, Switchs, etc.
Systèmes d’accès aux réseaux Remote access Firewall
Serveurs du système d’information Unix, NT, Main Frame, AS400, etc.
Postes de travail Windows (NT, 2000, XP, etc.)
Applications Web, ERP, Back office, etc.
![Page 20: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/20.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Quelle technologie d’authentification ?
![Page 21: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/21.jpg)
Solutions à la clef
Quelle technologie d’authentification ?
Password standard Tokens Challenge Response Authentification indirecte
Radius, Tacacs+ Kerberos Biométrie PKI (Smartcard, Tokens USB) Etc.
![Page 22: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/22.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Les « tokens »
![Page 23: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/23.jpg)
Solutions à la clef
Les « Tokens »
Quelque chose que vous possédez Généralement authentification forte (PIN+Token)
Deux grande familles Passive Tokens Active Tokens
![Page 24: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/24.jpg)
Solutions à la clef
Passive Tokens
Contient un secret unique (Base Secret) Secret unique partagé
Type de Tokens Badge de proximité Carte magnétique Etc.
Généralement authentification « faible » Pas de deuxième facteur
![Page 25: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/25.jpg)
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret Base Secret=
![Page 26: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/26.jpg)
Solutions à la clef
Active Tokens
Contient un secret unique (Base Secret) Secret unique partagé Facteur commun changeant
Résultat: One Time Password (OTP) Mode de fonctionnement dit synchrone
Counter Based Clock Based Hybride
![Page 27: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/27.jpg)
Solutions à la clef
Mode de fontionement
Token + (PIN)
Base Secret
Facteur communchangeant
Base Secret
Facteur communchangeant=
=
![Page 28: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/28.jpg)
Solutions à la clef
Counter Based Tokens
Base Secret
Hash
Counter
+1
OTP
Facteur commun
Secret uniquepartagé
![Page 29: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/29.jpg)
Solutions à la clef
Clock Based Tokens
Base Secret
Hash
OTPSecretuniquepartagé
![Page 30: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/30.jpg)
Solutions à la clef
Protection des tokens
Deuxième facteur par PIN Personal Identifier Number
Deux solutions PIN externe PIN interne
![Page 31: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/31.jpg)
Solutions à la clef
PIN Code interne
Base Secret
Hash
Clock orCounter
PIN unlockBase Secret
OTP
![Page 32: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/32.jpg)
Solutions à la clef
PIN Code externe
Base Secret
Hash
Clock orCounter
+ PIN
* OTP* Shoud use encryption (SSL, IPSEC, SSH
![Page 33: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/33.jpg)
Solutions à la clef
RSA SecurID
De facto standard Grandes banques, industries, gouvernements
Système basé sur le temps Très portable Grand nombre d’agents (env. 300) Facilité d’utilisation
![Page 34: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/34.jpg)
Solutions à la clef
SeedTime
482392482392
ACE/ACE/ServerServer
TokenToken
Algorithm
SeedTime
482392482392
Algorithm
Same Same SeedSeedSame Same
TimeTime
RSA SecurID
![Page 35: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/35.jpg)
Solutions à la clef
VPN
RSA ACE/Agent
s
Web Server
RSA ACE/AgentFirewall
RAS
DMZDMZ
Internet
RSA ACE/Serve
r (Primary)
RSA ACE/Agent
s
NT/ Unix
Novell
IntranetIntranetFirewall
RSA ACE/Server (Replica)
![Page 36: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/36.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Challenge Response
![Page 37: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/37.jpg)
Solutions à la clef
Challenge Response
Basé sur un challenge (nonce) Basé sur un secret unique Calcul du challenge avec une fonction de
hachage Mode de fonctionnement dit asynchrone
![Page 38: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/38.jpg)
Solutions à la clef
Mode de fontionement
nonce(adf341gf)
dupont
nonce = adf341gf
response = ff747dgd4
Base SecretBase Secret=
![Page 39: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/39.jpg)
Solutions à la clef
Norme X9.9
Standard ouvert pour Challenge Response US Gouvernement American Bankers Association
Utilisation de « DES » comme Hash Problème de « Password Guessing »
Migration vers « AES »
![Page 40: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/40.jpg)
Solutions à la clef
Norme X9.9
Base Secret
Hash(DES
encrypt)
RandomChallenge
Nonce
OTP Response
![Page 41: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/41.jpg)
Solutions à la clef
S/Key
OTP dévellopé par Bellcore 1990, pour Login Unix
Basé sur un secret unique Basé sur un pseudo challenge
Challenge pas aléatoire Calcul du « challenge » par « Token Soft »
Ou liste à barrer Utilisation de Hachage
MD4, MD5, etc.
![Page 42: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/42.jpg)
Solutions à la clef
S/Key
Base Secret
Hash
Seed
S/KeyResponse
Counter(99, 98, 97, etc.)
digest
Table S/KeyHuman Readable
![Page 43: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/43.jpg)
Solutions à la clef
Démo S/Key
CounterSeed
OTP
Base Secret
![Page 44: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/44.jpg)
Solutions à la clef
Microsoft NT Lan Manager
Windows NT 4.0 Stockage des password dans la SAM
Security Accounts Manager Utilisation d’un challenge Response
DES et maintenant MD4 Problème de password « Guessing »
Dump SAM (pwdump) Sniffer réseau (SMB sniffer)
![Page 45: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/45.jpg)
Solutions à la clef
Protection SAM Microsoft
Utilitaire « Sytem Key » Encryption SAM PIN Code
Boot PIN dans la registry PIN sur une disquette
![Page 46: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/46.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Authentification indirecte
![Page 47: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/47.jpg)
Solutions à la clef
Authentification indirecte
Sécurisation des accès réseaux et systèmes Gestion centralisée des utilisateurs Facilité de gestion des mot de passe Autorisation Archivage des évenements
Utilisation d’un serveur d’authentification tier Protocole standard comme Radius
![Page 48: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/48.jpg)
Solutions à la clef
Authentification indirecte
AuthenticationServer
Resource Serveror NAS
Client
LogonRequest
LogonResponseAuthentication
RequestAuthenticationResponse
Applications
![Page 49: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/49.jpg)
Solutions à la clef
Contrôle d’accès aux réseaux
Remote Access Point 2 Point Protocol (PPP) Point 2 Point Tunneling Protocol (PPTP) Layer 2 Tunneling Protocol (L2TP) IPSEC
Firewall Equipements réseaux
Router, Switch, etc.
![Page 50: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/50.jpg)
Solutions à la clef
Serveurs d’authentification OTP tier
Interface entre le serveur OTP et serveur d’authentification
Authentification forte (RAS, Firewall, etc.) Utilisation du mode proxy (Radius, etc.)
SecurID Activcard Etc.
![Page 51: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/51.jpg)
Solutions à la clef
Serveurs d’authentification OTP
AuthenticationServerRadius
Router with Agent radius Client
Server OTP
![Page 52: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/52.jpg)
Solutions à la clef
Radius
RADIUS Remote Access Dial-In User Service
Standart ouvert Fournit les 3 services (AAA)
Authentification Autorisation Accounting
Utilisé par de nombreux ISP Protocol standard (rfc 2138 et 2139)
![Page 53: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/53.jpg)
Solutions à la clef
Radius: authentification
Authentification des utilisateurs Base de données utilisateur en local ou en mode
proxy SAM, NDS, SecurID, etc.
Radius
SAM
Ace Server
![Page 54: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/54.jpg)
Solutions à la clef
Radius: autorisation
Contrôle d’accès aux applications (filtrage) Attributs granulaires
Utilisateurs Groupes Protocoles et services (applications) Destination IP
Autres attributs Le temps Nb de sessions Etc.
![Page 55: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/55.jpg)
Solutions à la clef
Radius: accounting
Collecte des informations des connexions Temp de la session Nb de bytes Identité de l’utilisateur
Utiliser pour Statistiques Facturation Auditing
![Page 56: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/56.jpg)
Solutions à la clef
Démonstration sécurisation des routeurs Cisco
AuthenticationServerRadius
AAA
Router with Agent radius Client
Ace Server
![Page 57: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/57.jpg)
Solutions à la clef
Tacacs+
Alternative à Radius 3 x AAA
Protocole dévellopé par Cisco Problème de sécurité Peu d’implémentations « Open Source »
![Page 58: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/58.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Kerberos
![Page 59: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/59.jpg)
Solutions à la clef
Kerberos
Protocole de sécurité pour l’authentification Architecture Single Sign-On Dévellopé par le MIT en 1985
Version 4.0 Version 5.0 (IETF) rfc 1510 et 1964 Open Software pour environement Unix
![Page 60: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/60.jpg)
Solutions à la clef
Kerberos
Fournit du chiffrement de session Secure Single Sign-On
Fournit l’authentification mutuelle Entre clients et serveurs
Utilisation du protocole par Windows 2000 Nouvelle vie pour Kerberos
![Page 61: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/61.jpg)
Solutions à la clef
Kerberos: concept de base
Utilisation de secret partagé Chiffrement symétrique
Utilisation d’un tier de confiance pour le partage des secret partagés (clés)
Key Distribution Center Utilisation de ticket distribué par le KDC
Credential ou ticket de session Validité des tickets dans le temps
![Page 62: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/62.jpg)
Solutions à la clef
Key DistributionCenter
Master KeyDatabase
Unix Server« Kerberized »
Software
Logon Request
TGT
TGT
Unix ServerTicket
Unix ServerRequest
With Ticket Unix ServerResponse
Ka
Ka
Kb
Kb
![Page 63: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/63.jpg)
Solutions à la clef
Kerberos et Win 2000
Protocole d’authentification de Windows 2000 Remplacement de NTLM
Utilisation de Active Directory pour le stockage des clés Kerberos
Architecture Single Sign-On Kerberos Version 5.0
![Page 64: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/64.jpg)
Solutions à la clef
Extension du protocol Kerberos
Logon initial remplacé par la technologie PKI PKINIT (IETF) Utilisation des smartcards Authentification basé sur un certificat X509
KDC vérifie le certificat « Trust » et les « Path » Validation du certificat (CRL)
![Page 65: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/65.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Biométrie
![Page 66: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/66.jpg)
Solutions à la clef
Biométrie
Système « ancien » 1930 - carte d’identité avec photo Reconnaissance de la voix Etc.
Deux familles Mesure des traits physiques uniques Mesure d’un comportement unique
![Page 67: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/67.jpg)
Solutions à la clef
Mesure des traits physiques
Empruntes digitales Géométrie de la main Les yeux
Iris Rétine
Reconnaissance du visage Nouvelles voies
ADN, odeurs, oreille et « thermogram »
![Page 68: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/68.jpg)
Solutions à la clef
Mesure d’un comportement
Reconnaissance vocal Signature manuscrite Dynamique de frappe
Clavier
![Page 69: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/69.jpg)
Solutions à la clef
Promesses et réalité
Problème de « false rejection » Problème de « false acceptance » « Replay Attacks » et « Spoofing »
Ajout d’un PIN Code ou Smartcard Prix ?
Bon capteur sont très chers (600 CHF/poste)
![Page 70: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/70.jpg)
Solutions à la clef
Personaltrait
BiometricReader
FeatureExtraction
1=1272=1263=4564=987
BiometricSignature
dupont: 1=127,2=deraud: 1=878,2=marcus: 1=656,2=
BiometricMatching
BiometricPattern
?
![Page 71: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/71.jpg)
Solutions à la clef
Mécanisme de contrôle
Par serveur d’authentification Requêtes par réseau Problème de sécurité Problème de confidentialité Problème de disponibilité
Sur une smartcard Meilleure sécurité Mode « offline » Prix plus élevé MOC = Match On card
![Page 72: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/72.jpg)
Solutions à la clef
Précision Biométrique
False Acceptance FAR (False Acceptance Rate) in % Lecteur sale, mauvaise position, etc
False Rejection FRR (False Rejection Rate) in % Usurpation, falsification
![Page 73: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/73.jpg)
Solutions à la clef
Equal Error Rate (EER)
![Page 74: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/74.jpg)
Solutions à la clef
Authentification forte
Deux facteurs Une carte à puce Un PIN code
![Page 75: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/75.jpg)
Solutions à la clef
Quelques Liens
http://www.rsasecurity.com http://www.cesg.gov.uk/technology/biometrics/i
ndex.htm http://www.microsoft.com/technet/default.asp http://web.mit.edu/kerberos/www/
![Page 76: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/76.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Questions?
![Page 77: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/77.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
e-Xpert Solutions SAIntégrateur en sécurité informatique
Au bénéfice d'une longue expérience dans les secteurs financiers et industriels, e-Xpert Solutions SA propose à sa clientèle des solutions « clé en main » dans le domaine de la sécurité informatique des réseaux et des applications. Des solutions qui vont de la sécurité de périmètre – tel le firewall, VPN, IDS, FIA, le contrôle de contenu, l’anti-virus – aux solutions plus avant-gardistes comme la prévention des intrusions (approche comportementale), l'authentification forte, la biométrie, les architectures PKI ou encore la sécurisation des OS Unix, Microsoft et des postes clients (firewall personnel).
![Page 78: Authentification Forte Cours UNI 2002](https://reader035.vdocuments.net/reader035/viewer/2022062312/555a0806d8b42ad00a8b5403/html5/thumbnails/78.jpg)
e-Xpert Solutions SA | 29, route de Pré-Marais | CH 1233 Bernex-Genève | Tél +41 22 727 05 55 | Fax +41 22 727 05 50
[email protected] | www.e-xpertsolutions.com
Pour plus d’informations
e-Xpert Solutions SASylvain Maret
Route de Pré-Marais 29CH-1233 Bernex / Genève
+41 22 727 05 [email protected]