L’authentification forte
ou
Vers la fin du mot de passe ?
26/06/2014 www.aliceandbob.fr 1
De trop nombreux mots de passe
• Nous avons tous maintenant des dizaines de
mots de passe et code PIN. Pour:
– nos ordinat...
Un mot de passe par site
26/06/2014 www.aliceandbob.fr 3
Des règles difficiles à suivre
• Les spécialistes de la sécurité nous
recommandent :
– d’utiliser des mots de passe comple...
Sommes-nous si loin de la réalité?
"Sorry, your password has been in use for 30 days and has expired - you must register a...
Une solution peu satisfaisante
• Malgré toutes ces contraintes impossibles à appliquer le
mot de passe reste une solution ...
Pas très sécurisé tout ça …
26/06/2014 www.aliceandbob.fr 7
Vraiment pas très sécurisé …
26/06/2014 www.aliceandbob.fr 8
La technique du phishing
26/06/2014 www.aliceandbob.fr 9
Authentification forte
• Authentification à 2 ou 3 facteurs
– Ce que je sais (un mot de passe, un code PIN)
– Ce que je po...
L’authentification forte
• Le SMS One Time Password
Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’es...
De nombreuses solutions
26/06/2014 www.aliceandbob.fr 12
La perspective de l’utilisateur
• L’authentification forte est une contrainte
• Les opérations supplémentaires et les obje...
Le SMS OTP*
*SMS OTP : SMS One Time Password
Code valable une fois pendant une durée limitée
26/06/2014 www.aliceandbob.fr...
Authentification par certificat
électronique
• Un certificat électronique est votre « carte
d’identité numérique ».
• Il e...
Clé USB cryptographique
La USB cryptographique contient un puce exactement comme une carte de crédit.
Cette puce contient ...
Certificat électronique
Michael Jackson
DigiCert CA
Nom
Autorité ayant délivré le certificat
Dates de validité
26/06/2014 ...
Différents niveaux de validité
Installé sur votre machine.
Vérification uniquement de
votre adresse email
Installé sur une...
Que choisir ?
Toutes ces solutions sont plus coûteuses que le
login / mot de passe, mais contribuent à
accroître la sécuri...
Des standards et initiatives
Kerberos
26/06/2014 www.aliceandbob.fr 20
Attention aux Tokens RSA
26/06/2014 www.aliceandbob.fr 21
L’authentification forte en croissance
26/06/2014 www.aliceandbob.fr 22
Un marché en expansion
Frost & Sullivan's new Analysis of the Strong Authentication
and One-Time Password (OTP) Market fin...
Un poisson d’Avril amusant
Authentification forte : une lutte fratricide au
sommet de l’Etat profite à Google
Interrogé qu...
Conclusion
• Le mot de passe est très loin d’être
parfait
• Il perd du terrain mais a encore quelques
beaux jours devant l...
Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• ...
Prochain SlideShare
Chargement dans…5
×

L'authentification forte ou vers la mort du mot de passe

1 472 vues

Publié le

Authentification forte

Publié dans : Internet
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 472
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
81
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

L'authentification forte ou vers la mort du mot de passe

  1. 1. L’authentification forte ou Vers la fin du mot de passe ? 26/06/2014 www.aliceandbob.fr 1
  2. 2. De trop nombreux mots de passe • Nous avons tous maintenant des dizaines de mots de passe et code PIN. Pour: – nos ordinateurs et nos Smartphones, – accéder à nos résidences, – les différents sites web, – nos comptes de messageries électroniques, – nos comptes bancaires, – accéder à différentes applications Cloud, – nos réseaux d’entreprises, etc. 26/06/2014 www.aliceandbob.fr 2
  3. 3. Un mot de passe par site 26/06/2014 www.aliceandbob.fr 3
  4. 4. Des règles difficiles à suivre • Les spécialistes de la sécurité nous recommandent : – d’utiliser des mots de passe complexes avec des chiffres, des lettres et des caractères spéciaux – de les changer régulièrement – d’utiliser des mots de passes différents pour chaque usage 26/06/2014 www.aliceandbob.fr 4
  5. 5. Sommes-nous si loin de la réalité? "Sorry, your password has been in use for 30 days and has expired - you must register a new one." "New password:" roses "Sorry, too few characters." pretty roses "Sorry, you must use at least one numerical character." 1 pretty rose "Sorry, you cannot use blank spaces." 1prettyrose "Sorry, you must use at least 10 different characters." 1fuckingprettyrose "Sorry, you must use at least one upper case character." 1FUCKINGprettyrose "Sorry, you cannot use more than one upper case character consecutively." 1FuckingPrettyRose "Sorry, you must use no fewer than 20 total characters." 1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow! "Sorry, you cannot use punctuation." 1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow "Sorry, that password is already in use." 26/06/2014 www.aliceandbob.fr 5
  6. 6. Une solution peu satisfaisante • Malgré toutes ces contraintes impossibles à appliquer le mot de passe reste une solution d’authentification faible facilement “craquable”. • Des outils de récupération de mots de passe surgissent. • Des listes de mots de passe sont souvent volées. • Les personnes comme vous et moi utilisons plusieurs fois le même mot de passe. • Nous les notons quelque part. • Le banditisme utilise aujourd’hui des techniques de plus en plus sophistiquées pour vous voler vos données personnelles telles que le Phishing. • Netcraft par exemple a déjà recensé plus de 7 millions sites de phishing. 26/06/2014 www.aliceandbob.fr 6
  7. 7. Pas très sécurisé tout ça … 26/06/2014 www.aliceandbob.fr 7
  8. 8. Vraiment pas très sécurisé … 26/06/2014 www.aliceandbob.fr 8
  9. 9. La technique du phishing 26/06/2014 www.aliceandbob.fr 9
  10. 10. Authentification forte • Authentification à 2 ou 3 facteurs – Ce que je sais (un mot de passe, un code PIN) – Ce que je possède (un Token, une carte, un SmartPhone, etc.) – Ce que je suis (mon empreinte digitale, ma rétine, etc.) 26/06/2014 www.aliceandbob.fr 10
  11. 11. L’authentification forte • Le SMS One Time Password Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier. • Le certificat électronique installé sur votre ordinateur ou smartphone Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles via un code PIN. • Le certificat électronique sur Token, carte à puce ou clé USB à puce Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN. • Les Token One Time Password Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par exemple l’article de ZDNet ci-dessous. • Les solutions d’identification biométriques Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec. 26/06/2014 www.aliceandbob.fr 11
  12. 12. De nombreuses solutions 26/06/2014 www.aliceandbob.fr 12
  13. 13. La perspective de l’utilisateur • L’authentification forte est une contrainte • Les opérations supplémentaires et les objets à porter sur soi complexifient les usages • Le certificat électronique est une solution élégante car elle ne requiert rien et est transparente pour les utilisateurs 26/06/2014 www.aliceandbob.fr 13
  14. 14. Le SMS OTP* *SMS OTP : SMS One Time Password Code valable une fois pendant une durée limitée 26/06/2014 www.aliceandbob.fr 14
  15. 15. Authentification par certificat électronique • Un certificat électronique est votre « carte d’identité numérique ». • Il est ouvert grâce à un code PIN • Lorsque vous vous authentifiez sur un réseau, un site web, etc. ce certificat permet de vérifier qui vous êtes avant de vous laisser entrer Code PIN OK 26/06/2014 www.aliceandbob.fr 15
  16. 16. Clé USB cryptographique La USB cryptographique contient un puce exactement comme une carte de crédit. Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une carte de crédit. 26/06/2014 www.aliceandbob.fr 16
  17. 17. Certificat électronique Michael Jackson DigiCert CA Nom Autorité ayant délivré le certificat Dates de validité 26/06/2014 www.aliceandbob.fr 17
  18. 18. Différents niveaux de validité Installé sur votre machine. Vérification uniquement de votre adresse email Installé sur une clé USB cryptographique. Vérification de votre carte d’identité, etc. Remise en face à face. Validation faible Moins de valeur légale Validation forte Plus de valeur légale 26/06/2014 www.aliceandbob.fr 18
  19. 19. Que choisir ? Toutes ces solutions sont plus coûteuses que le login / mot de passe, mais contribuent à accroître la sécurité. Les critères dans le choix des solutions sont : – le prix certes, – mais aussi le niveau de sécurité, – et surtout la facilité de mise en œuvre et d’usage. 26/06/2014 www.aliceandbob.fr 19
  20. 20. Des standards et initiatives Kerberos 26/06/2014 www.aliceandbob.fr 20
  21. 21. Attention aux Tokens RSA 26/06/2014 www.aliceandbob.fr 21
  22. 22. L’authentification forte en croissance 26/06/2014 www.aliceandbob.fr 22
  23. 23. Un marché en expansion Frost & Sullivan's new Analysis of the Strong Authentication and One-Time Password (OTP) Market finds the market earned revenue of $1.52 billion in 2013 and estimates this to reach $2.16 billion in 2018 at a compound annual growth rate of nearly 7 percent. The research notes new strong authentication methods are less expensive than the dominant hardware OTP method, fueling adoption. The analysis also finds RSA remains the largest vendor in the industry, with about one-fifth of the market revenue; however, the breadth of strong authentication methods creates a market for many players. Note: Le marché français correspond à 3,5% du marché mondial soit $53,2M soit 38,8M€ 26/06/2014 www.aliceandbob.fr 23
  24. 24. Un poisson d’Avril amusant Authentification forte : une lutte fratricide au sommet de l’Etat profite à Google Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres. Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni aux collaborateurs des Ministères, on veut bien le croire. 26/06/2014 www.aliceandbob.fr 24
  25. 25. Conclusion • Le mot de passe est très loin d’être parfait • Il perd du terrain mais a encore quelques beaux jours devant lui • Les solutions d’authentification commencent à sérieusement émerger 26/06/2014 www.aliceandbob.fr 25
  26. 26. Merci ! Voir toutes nos présentations et documents sur Slideshare: • L’avènement de la signature électronique : en 2014 • La cryptographie et la PKI enfin expliquées simplement • Comment bien choisir ses certificats SSL • L’authentification forte ou vers la fin du mot de passe • Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification • Accroitre la confiance dans les personnes et les machines qui se connectent à votre réseau d’entreprise • Les solutions SaaS permettent l’avènement des usages des certificats électroniques • La vérité sur HeartBleed • La NSA et les Autorités de Certification : Mythe ou réalité ? contact@aliceandbob.fr 26/06/2014 www.AliceAndBob.fr 26

×