AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
SEC304
Windows 10 Next Generation
Credential : vers la fin des mots
de passe ?
Jean-Yves Grasset
Arnaud Jumelet
Direction ...
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
• Tentative d’hameçonnage
• Envoi de mails depuis des serveurs
compromis du New York Post
• Obje...
tech.days 2015#mstechdays
Exemple: Amazon
tech.days 2015#mstechdays
• L’utilisation de mots de passe n’est pas suffisant pour garantir la sécurité
des utilisateurs
...
tech.days 2015#mstechdays
• S’affranchir de l’utilisation des mots de passe
• Simplifier l’expérience utilisateur (biométr...
tech.days 2015#mstechdays
• Remplacement des mots de passe par une bi-clé (clé privée-clé
publique)
• Les clés sont généré...
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
1
2
3
4
Fournisseur d’Identité
5
6
Active Directory
Azure Active Directory
Microsoft Account
Aut...
tech.days 2015#mstechdays
1
2
4
Fournisseur d’Identité
5
3
6
Active Directory
Azure Active Directory
Microsoft Account
Aut...
tech.days 2015#mstechdays
• Les clés générées par le TPM peuvent être attestées
• Les clés sont stockées un container
• Un...
tech.days 2015#mstechdays
tech.days 2015#mstechdays
Container
Bi-clé par fournisseur d’identité (IDP)
Le même PIN/geste pour déverrouiller
Le même p...
tech.days 2015#mstechdays
Container
• Code PIN 4 digit par défaut
• Code PIN complexe
• Auto-submit pour code PIN 4 caract...
tech.days 2015#mstechdays
• Analogie avec carte bancaire
• Sécurité basée sur dispositif matériel
• Nombre d’essais limité...
tech.days 2015#mstechdays
tech.days 2015#mstechdays
• Contrôle de politiques pour l’entreprise et pour un usage Cloud
• Support des politiques pour ...
tech.days 2015#mstechdays
Containers
CLES SECURISEES
PAR LE MATERIEL
Possibilité de définir une
politique de 4-20 caractèr...
tech.days 2015#mstechdays
1
2
1
2 3
4
tech.days 2015#mstechdays
tech.days 2015#mstechdays
• La personne utilise un appareil (ex. smartphone) pour s’authentifier sur
les services ou ouvri...
tech.days 2015#mstechdays
• Pour le grand public:
• Enregistrement de nouveaux appareils
• Accès à des ressources Web en e...
tech.days 2015#mstechdays
• L’expérience utilisateur est améliorée (code PIN/Biométrie)
• L’authentification est renforcée...
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr
Prochain SlideShare
Chargement dans…5
×

Windows 10: vers la fin des mots de passe ?

495 vues

Publié le

Windows 10 Next Generation Credentials (NGC) constitue une implémentation d’un nouveau principe d'authentification sans mot de passe, s'appuyant principalement sur le module matériel TPM – que l’on retrouve désormais sur la plupart des appareils – ainsi que sur des authentificateurs biométriques comme un lecteur d’empreinte digitale. Cette nouvelle approche permet de simplifier l'expérience utilisateur tout en renforçant la sécurité et en garantissant le respect de la vie privée. L'Alliance Fast IDentification Online (FIDO), dont Microsoft est membre et contributeur a récemment publié les versions finales des spécifications UAF Universal Authentication Framework qui sont au cœur de ce mode d'authentification sans mot de passe. Cette session fera la lumière sur les principes de l'authentification sans mot de passe disponibles sous Windows 10. Attention, pas de magie mais une solution astucieuse basée sur de la crypto asymétrique bien connue et des protocoles dont les spécifications sont publiques. Juste un petit un bémol : les démos ne seront possibles que si la version Consumer Preview de Windows 10 de fin janvier le permet.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
495
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
24
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Windows 10: vers la fin des mots de passe ?

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. SEC304 Windows 10 Next Generation Credential : vers la fin des mots de passe ? Jean-Yves Grasset Arnaud Jumelet Direction technique et Sécurité Microsoft France
  3. 3. tech.days 2015#mstechdays
  4. 4. tech.days 2015#mstechdays
  5. 5. tech.days 2015#mstechdays • Tentative d’hameçonnage • Envoi de mails depuis des serveurs compromis du New York Post • Objectif 1 des attaquants : le mot de passe du compte Twitter du Monde.fr et ses plus de 3 millions d'abonnés. • Objectif 2 : Prise de contrôle de l’outil de publication pour diffusion d’une revendication • Statut: Des articles de revendication sont introduits dans l’outil mais sans réussir leur publication Exemple: Le Monde
  6. 6. tech.days 2015#mstechdays Exemple: Amazon
  7. 7. tech.days 2015#mstechdays • L’utilisation de mots de passe n’est pas suffisant pour garantir la sécurité des utilisateurs • Les utilisateurs réutilisent les mêmes mots de passe • Les utilisateurs oublient leurs mots de passe • Les mots de passe • Peuvent être devinés et rejoués • Attaquables en force brute • Propices à l’hameçonnage (phishing) et à la divulgation (brèche serveur) Problème
  8. 8. tech.days 2015#mstechdays • S’affranchir de l’utilisation des mots de passe • Simplifier l’expérience utilisateur (biométrie, code PIN, téléphone…) • Respect de la vie privée • Authentification multi-facteur pour l’accès aux services Web • Mode d’authentification pour le grand public et pour l’entreprise • Interopérabilité: standards ouverts FIDO Alliance Objectifs
  9. 9. tech.days 2015#mstechdays • Remplacement des mots de passe par une bi-clé (clé privée-clé publique) • Les clés sont générées par le matériel –TPM- durant la phase d’enregistrement (par logiciel en dernier recours selon politique) • La confiance repose sur l’utilisation du composant matériel pour protéger les clés (TPM 1.2/2.0) • La clé privée est stockée localement et disponible à travers une interaction utilisateur (PIN ou biométrique: empreinte digitale, iris, photo…) • La clé publique est stockée sur le serveur chargé de l’authentification Principes
  10. 10. tech.days 2015#mstechdays
  11. 11. tech.days 2015#mstechdays
  12. 12. tech.days 2015#mstechdays
  13. 13. tech.days 2015#mstechdays 1 2 3 4 Fournisseur d’Identité 5 6 Active Directory Azure Active Directory Microsoft Account Autre IDP
  14. 14. tech.days 2015#mstechdays 1 2 4 Fournisseur d’Identité 5 3 6 Active Directory Azure Active Directory Microsoft Account Autre IDP
  15. 15. tech.days 2015#mstechdays • Les clés générées par le TPM peuvent être attestées • Les clés sont stockées un container • Un geste unique (PIN/biométrie) déverrouille l’accès au container • La bi-clé peut être générée sur un appareil distant (téléphone, clé USB, bracelet, etc.) • NGC existe en 2 déclinaisons • basé sur paire de clés (orienté grand public) • Basé sur certificats PKI pour l’entreprise (NGC Pro) Détails
  16. 16. tech.days 2015#mstechdays
  17. 17. tech.days 2015#mstechdays Container Bi-clé par fournisseur d’identité (IDP) Le même PIN/geste pour déverrouiller Le même processus de reset du PIN CLES SECURISEES PAR LE MATERIEL
  18. 18. tech.days 2015#mstechdays Container • Code PIN 4 digit par défaut • Code PIN complexe • Auto-submit pour code PIN 4 caractères • Anti-brut force • Protection contre la composition involontaire (appareil dans la poche) • Support du reset PIN/Bio • PIN nécessaire pour enregistrement biométrique Capteur d’empreinte digitale FPC1021
  19. 19. tech.days 2015#mstechdays • Analogie avec carte bancaire • Sécurité basée sur dispositif matériel • Nombre d’essais limités avant blocage • Pas de secret partagé • 2ème facteur pour accès à des ressources distantes Principe • Pourquoi un code PIN de 4 caractères est-il plus sécurisé qu’un mot de passe de 4 caractères ?
  20. 20. tech.days 2015#mstechdays
  21. 21. tech.days 2015#mstechdays • Contrôle de politiques pour l’entreprise et pour un usage Cloud • Support des politiques pour le code PIN • Englobe les cartes à puce virtuelles • Support des certificats en plus des bi-clés • Gestion par MDM/SCCM • Compatible avec le protocole d’authentification Kerberos • Suite à l’authentification NGC, SSO Kerberos et SSO Azure AD • L’appareil doit être joint à l’organisation • Azure AD join, Domain join ou BYOD + work account
  22. 22. tech.days 2015#mstechdays Containers CLES SECURISEES PAR LE MATERIEL Possibilité de définir une politique de 4-20 caractères (PIN) sur container entreprise Possibilité d’un code PIN différent pour chaque container
  23. 23. tech.days 2015#mstechdays 1 2 1 2 3 4
  24. 24. tech.days 2015#mstechdays
  25. 25. tech.days 2015#mstechdays • La personne utilise un appareil (ex. smartphone) pour s’authentifier sur les services ou ouvrir une session sur d’autres appareils (PC) • Les clés NGC sont générées sur le smartphone et enregistrées auprès de l’IDP (uniquement clés publiques) • L’authentification NGC par appareil distant est indépendante du transport mais sera supporté au départ sur Bluetooth (+Bluetooth low energy), etc. Scénarios
  26. 26. tech.days 2015#mstechdays • Pour le grand public: • Enregistrement de nouveaux appareils • Accès à des ressources Web en environnement non fiable • Accès à votre compte XBOX live depuis la XBOX d’un ami • Pour les entreprises: Remplacement de la carte à puce: • Déverrouillage de l’appareil • Accès à Office 365 ou VPN pour les scénarios BYOD Scénarios
  27. 27. tech.days 2015#mstechdays • L’expérience utilisateur est améliorée (code PIN/Biométrie) • L’authentification est renforcée (2 facteurs) et les risques liés aux mots de passe atténués • Les clés privées sont stockées localement et non-exportable (TPM) • Aucun secret stocké sur les serveurs (respect vie privée, protection compromission serveur) • NGC adresse les scénarios grand public et de l’entreprise • NGC Pro offre le SSO entreprise et cloud • L’authentification par appareil distant ouvre de nouveaux scénarios Conclusion
  28. 28. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr

×