TOTP
TIME-BASED ONE-TIME PASSWORD (TOTP)
Par Moustapha Amadou Diouf
Définition
Algorithme
Forces et faiblesses
LinOTP
Google Authentificator
Démo
DÉFINITION
Algorithme
Forces et faiblesses
LinOTP
Google Authentificator
Démo
OTP ?
Un Mot de passe unique qui n'est valable que pour une
session ou une transaction.
TOTP ?
Un OTP qui utilise un algorithme qui se base sur le temps de
synchronisation entre le serveur d'authentification et...
Définition
ALGORITHME
Forces et faiblesses
LinOTP
Google Authentificator
Démo
ALGORITHME TOTP
K est la clef secrète (clef partagée)
TC est le compteur de temps
Étape 1 : Générer un HMAC-SHA1 de 20 bit...
Définition
Algorithme
FORCES ET FAIBLESSES
LinOTP
Google Authentificator
Démo
AVANTAGES ?
Renforce l'authentification des applications (2FA)
Mot de passe unique pour une période donnée
Grande flexibil...
FAIBLESSES ET VULNÉRABILITÉS ?
TOTP non protégé par "hashing"
Codes générés sont souvent disponibles pour une durée
plus é...
Définition
Algorithme
Forces et faiblesses
LINOTP
Google Authentificator
Démo
LINOTP
Développé par "Leading Security Experts"
Solution "open source" supportant plusieurs
authenficatificateur TOTP et H...
POURQUOI LINOTP ?
Base de données : MySQL, Postgresql, SQLite, Oracle et
IBM DB2
Mot de passe utilisateur stocké en "hashi...
Définition
Algorithme
Forces et faiblesses
LinOTP
GOOGLE AUTHENTIFICATOR
Démo
GOOGLE AUTHENTIFICATOR
Développé par Google
Solution "closed source"
POURQUOI GOOGLE AUTHENTIFICATOR ?
Appareils : Android, iOS, and BlackBerry
Installation simple
Supporté par LinOTP
Définition
Algorithme
Forces et faiblesses
LinOTP
Google Authentificator
DÉMONSTRATION
DÉMO
Installation de LinOTP sur Ubuntu
Installer et configurer MySQL
Installer et configurer LinOTP
Démarrer LinOTP :
user...
FIN
Merci à tous
Envoyez-moi vos courriers électroniques à :
taphdiouf@gmail.com
Afin d'avoir accès à la documentation com...
Prochain SlideShare
Chargement dans…5
×

TOTP - Madmous

199 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
199
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
3
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

TOTP - Madmous

  1. 1. TOTP TIME-BASED ONE-TIME PASSWORD (TOTP) Par Moustapha Amadou Diouf
  2. 2. Définition Algorithme Forces et faiblesses LinOTP Google Authentificator Démo
  3. 3. DÉFINITION Algorithme Forces et faiblesses LinOTP Google Authentificator Démo
  4. 4. OTP ? Un Mot de passe unique qui n'est valable que pour une session ou une transaction.
  5. 5. TOTP ? Un OTP qui utilise un algorithme qui se base sur le temps de synchronisation entre le serveur d'authentification et le client.
  6. 6. Définition ALGORITHME Forces et faiblesses LinOTP Google Authentificator Démo
  7. 7. ALGORITHME TOTP K est la clef secrète (clef partagée) TC est le compteur de temps Étape 1 : Générer un HMAC-SHA1 de 20 bits Étape 2 : Déterminer un "offset" à l'intérieur à partir du HMAC calculé à l’ étape 1 Étape 3 : À partir de cet offset, choisir les 4 bits Étape 4 : Tranformer ces 4 bits en entier Étape 5 : Diviser l'entier par 1 000 000 Étape 6 : Le reste de la division et le code TOTP à 6 chiffre
  8. 8. Définition Algorithme FORCES ET FAIBLESSES LinOTP Google Authentificator Démo
  9. 9. AVANTAGES ? Renforce l'authentification des applications (2FA) Mot de passe unique pour une période donnée Grande flexibilité : application, SMS Réduit le type d'attaque : "man in the middle"
  10. 10. FAIBLESSES ET VULNÉRABILITÉS ? TOTP non protégé par "hashing" Codes générés sont souvent disponibles pour une durée plus élevée que celle qui est spécifiée Codes visibles par n'importe qui sur l'écran du client RSA compris de plus en plus par les pirates (grosse attaque en 2011)
  11. 11. Définition Algorithme Forces et faiblesses LINOTP Google Authentificator Démo
  12. 12. LINOTP Développé par "Leading Security Experts" Solution "open source" supportant plusieurs authenficatificateur TOTP et HOTP
  13. 13. POURQUOI LINOTP ? Base de données : MySQL, Postgresql, SQLite, Oracle et IBM DB2 Mot de passe utilisateur stocké en "hashing" (SHA256 ou SHA512) APIs : gérer, valider, authentifier ... Open source
  14. 14. Définition Algorithme Forces et faiblesses LinOTP GOOGLE AUTHENTIFICATOR Démo
  15. 15. GOOGLE AUTHENTIFICATOR Développé par Google Solution "closed source"
  16. 16. POURQUOI GOOGLE AUTHENTIFICATOR ? Appareils : Android, iOS, and BlackBerry Installation simple Supporté par LinOTP
  17. 17. Définition Algorithme Forces et faiblesses LinOTP Google Authentificator DÉMONSTRATION
  18. 18. DÉMO Installation de LinOTP sur Ubuntu Installer et configurer MySQL Installer et configurer LinOTP Démarrer LinOTP : useridresolver, realm, token, policies, selfserfice
  19. 19. FIN Merci à tous Envoyez-moi vos courriers électroniques à : taphdiouf@gmail.com Afin d'avoir accès à la documentation complète

×