Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
Fonctionnement de l’authentification « One Time Password » et son implémentation avec les solutions actuelles du marché telles que les solutions GEMALTO.
Guide de mise en oeuvre de l'authentification forteNis
La technologie d'authentification multi-facteur pour la protection de l'identité et des accès aux réseaux informatiques est l'élément clé du futur de la sécurité d'entreprise. Grace à sa connaissance approfondie et son expertise, Gemalto a identifié les étapes pour mettre en application avec succès l'authentification forte au sein de vos entreprises.
Livre blanc sur l'authentification forte OTP - One Time PasswordPRONETIS
Fonctionnement de l’authentification « One Time Password » et son implémentation avec les solutions actuelles du marché telles que les solutions GEMALTO.
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
En matière de protection de vos clients et de votre site Web, le savoir reste votre meilleure arme. Toutefois, face à l’évolution constante des menaces et des moyens de défense, certaines idées reçues ont la vie dure. Pour vous aider à y voir plus clair et à différencier le mythe de la réalité, Thawte vous invite à visionner ce guide essentiel.
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Aujourd’hui, le secteur financier et tout les autres secteurs font face à un grand défi. Ils ont besoin de montrer à leurs clients qu'ils ont opté pour une stratégie en cybersécurité optimale car chaque attaque peut avoir un impact non seulement sur les opérations, mais aussi sur l’image de marque. La balance s’incline maintenant vers les outils innovants, basés sur l'analytique Big Data et sur des modèles de comportement. En identifiant la cybercriminalité comme un problème répandu et agressif, ITrust a développé Reveelium, une solution capable d'extraire des perspectives concrètes à partir de données du système, pour accompagner les experts dans leur gestion de risques informatiques.
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
In our interconnected world, users are everyday facing an hostile environment, even if most of them are usually not aware of the underlying risks. During his talk at 4th brokers forum which occurred in Chavannes-de-Bogis, Frederic BOURLA presented some of the threats which could deadly impact brokers businesses. This short talk is a basic and visual security awareness initiation for brokers and insurers.
Source: https://www.htbridge.com/publications/welcome_to_the_world_wild_web.html
L\'authentification forte : Concept et TechnologiesIbrahima FALL
Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.
Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introduction
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12.Gérer simplement les certificats électroniques en SaaS
DÉCRYPTAGE des 10 GRANDS mythes de la sécurité des sites WebThawte
En matière de protection de vos clients et de votre site Web, le savoir reste votre meilleure arme. Toutefois, face à l’évolution constante des menaces et des moyens de défense, certaines idées reçues ont la vie dure. Pour vous aider à y voir plus clair et à différencier le mythe de la réalité, Thawte vous invite à visionner ce guide essentiel.
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le We...Sylvain Maret
Comment protéger de façon efficace son/ses identité(s) numérique(s) sur le Web 2.0?
Workshop der SATW ICT Commission
20./21. Mai 2010, Parkhotel Schloss Münchenwiler
Aujourd’hui, le secteur financier et tout les autres secteurs font face à un grand défi. Ils ont besoin de montrer à leurs clients qu'ils ont opté pour une stratégie en cybersécurité optimale car chaque attaque peut avoir un impact non seulement sur les opérations, mais aussi sur l’image de marque. La balance s’incline maintenant vers les outils innovants, basés sur l'analytique Big Data et sur des modèles de comportement. En identifiant la cybercriminalité comme un problème répandu et agressif, ITrust a développé Reveelium, une solution capable d'extraire des perspectives concrètes à partir de données du système, pour accompagner les experts dans leur gestion de risques informatiques.
Présentation de Michel Frenkiel président de Mobilegov
Augmentation de capital réservée aux investisseurs qualifiés janvier février 2009
www.financial-video.com
Space Shelter! Formation du webinaire #2 sur l'hameçonnage (phishing) et les ...SOCIALware Benelux
Ce slideshow est rendu public dans le cadre de l'initiative Space Shelter! 2021 à destination du secteur associatif - en partenariat avec Google, Test-Achats/Aankoop, Euroconsumers et SOCIALware (TechSoup Global Network).
La cybercriminalité, qui consiste à utiliser un ordinateur comme outil pour poursuivre des objectifs illégaux, tels que la fraude, le trafic de pédopornographie et de propriété intellectuelle, l’usurpation d’identité ou l’atteinte à la vie privée, est en augmentation.
Vous apprendrez comment vous protéger lorsqu’un pirate, déguisé en entité de confiance, peut vous inciter à ouvrir un e-mail, un message instantané ou un message texte pour voler des données d’utilisateur, notamment des identifiants de connexion et des numéros de carte de crédit.
Découvrez également comment ces fraudes sont perpétrées et apprenez comment protéger votre organisation à but non lucratif et les personnes concernées.
Cybersécurité en 2018 : quelles sont les tendances ?Kiwi Backup
Ce webinar s’adresse à tous à tous ceux qui sont sensibilisés à l’importance de leurs données : chef d’entreprises, indépendants, hébergeurs, VAR, DSI et responsables informatiques, associations, collectivités,…
In our interconnected world, users are everyday facing an hostile environment, even if most of them are usually not aware of the underlying risks. During his talk at 4th brokers forum which occurred in Chavannes-de-Bogis, Frederic BOURLA presented some of the threats which could deadly impact brokers businesses. This short talk is a basic and visual security awareness initiation for brokers and insurers.
Source: https://www.htbridge.com/publications/welcome_to_the_world_wild_web.html
L\'authentification forte : Concept et TechnologiesIbrahima FALL
Présenter le concept d’authentification forte avec quelques techniques de mise en oeuvre pour illustration.
Site de l’exposé : http://www-igm.univ-mlv.fr/~dr/XPOSE2010/authentificationForte/index.php#introduction
L'authentification Forte - A&B - Newsletter Confiance Numérique - n°2Alice and Bob
1. Vers la fin du mot de passe ? 2. L'authentification forte : le b.a.ba 3. L'authentification forte garantit les connexions au système d'information 4. Bénéfices business : Point d'entrée de la transformation digitale Témoignage : Directrice Générale de ChamberSign 5. Exemples de mécanismes d'authentification forte 6. Choisir sa solution d'authentification forte 7. Le Cloud et le BYOD accélèrent le demande pour les solutions d'authentification forte 8. Les Experts Comptables utilisent l'authentification forte par certificat sur leur site web 9. Wikipédia adopte l'authentification par certificat en mode SaaS 10. Authentification forte et BYOD 11. Le certificat installé sur le terminal : une solution élégante 12.Gérer simplement les certificats électroniques en SaaS
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Microsoft Technet France
"L’actualité ne cesse de se faire l’écho de cas de vols de mots de passe toujours plus nombreux vis-à-vis de services en ligne. Pour répondre à cette situation, les travaux de l’alliance FIDO (Fast IDentity Online) offrent une authentification sans mot de passe fondée sur la cryptographie asymétrique.
Cette session introduit les spécifications FIDO 2 implémentées dans Windows 10 au travers de Microsoft Hello et de Microsoft Passport, et illustre l’utilisation de ces mécanismes avec la plateforme FranceConnect.
FranceConnect est un nouveau système d’identification à l’initiative de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC). FranceConnect vise à faciliter l’accès des usagers aux services numériques de l’administration en ligne."
2010 - Les technologies d'authentification forte dans les applications web: c...Cyber Security Alliance
a) L'état de l'art 2010 sur les technologies d'authentification forte:
Out of Band Authentication
Risk Based Authentication
Biométrie Match on Card
OTP pour les smartphones notamment l'Iphone
PKI
Soft Token
Passeport Internet
Cryptographie matricielle
Les tendances...
b) Les approches pour l'intégration avec vos applications Web:
OpenID, SAML, Liberty Alliance / Kantara
API, Agents, Web Services, Modules
PAM, Radius, JAAS, SecurID, Kerberos, GSSAPI
Approche authentification périmétrique / Reverse Proxy (WAF) et WebSSO
Par Sylvain MARET
Advanced Web Services Hacking (AusCERT 06)Shreeraj Shah
Advanced Web Services Hacking - Attacks & Defense (AusCERT 2006).
Web services attacks are on the rise with evolution of web applications which are consuming back end web services over SOAP. UDDI, SOAP and WSDL are three important blocks of this new attack vectors. Several attacks are evolving around web services like UDDI enumeration, XPATH injection, XML poisoning, WSDL scanning, SOAP bruteforcing etc. At the same time new range of defense is evolving for web services with SOAP filtering. It is critical to know methodologies, attack vectors and defense strategies before deploying web services into the corporate environment. This paper will discuss advanced web services hacking methods and defense approaches.
Enjeux et évolutions de la sécurité informatique
- Evolution des attaques informatiques
- Etude des attaques récentes
- Métiers de la sécurité informatique
- Prospective
Petits secrets entre amis : les acteurs du web doivent ils prêter serment ?Jean-Philippe Simonnet
webmaster, chef de projets, développeurs, intégrateurs, administrateur réseau… Nous avons tous entre les mains des mots de passe de nos collègues, amis, responsables, voire de nos sociétés, certains de nos clients.
Pourtant combien d’entre nous ont une clause de confidentialité dans leurs contrats ? À l’heure de la tentation sécuritaire, de l’envie de légiférer des politiciens sur les droits et les devoirs des internautes, de la peur de ne pas savoir gérer nos identités numériques, que penser de ces mots de passe qui nous sont confiés du fait de notre compétence professionnelle ? Serons-nous, un jour, comme les médecins, avocats obligés de prêter serment ? Pourrons-nous invoquer la protection de nos sources, comme les journalistes, pour les données qui nous sont confiées ?
Depuis quelques semaines, un nombre record d’identifiants de comptes a été mis en vente sur le Darknet. Les victimes (voir graphique) sont notamment les réseaux sociaux Tumblr (65 millions de comptes utilisateurs), LinkedIn (164 millions de comptes utilisateurs) et – la patate chaude du moment – MySpace (360 millions de comptes utilisateurs).
Étude de cas eCRM : devenir client de la banque N26Jonathan Loriaux
L'usage des techniques eCRM n'est pas toujours évident pour les startups qui se concentrent bien souvent sur l'acquisition. Pourtant, la banque N26 se défend bien sur de nombreux points, mais on sent qu'il y a encore un manque dans l'exploitation des canaux et techniques eCRM.
Étude de cas eCRM : devenir client de la banque N26Jonathan Loriaux
L'acquisition d'un nouveau client n'est pas chose aisée ! Mais quand celui-ci fait le premier pas, il s'agit de ne pas se tromper et de lui faciliter la tâche... en utilisation la scénarisation eCRM. Ça semble évident, mais ce n'est malheureusement pas toujours bien réalisé. D'ailleurs, le monde bancaire n'est pas toujours le plus accueillant, c'est pourquoi nous avons décidé de réaliser cette étude de cas dans ce secteur.
Pour réaliser l'étude de cas, nous avons pioché dans les nouveaux venus du secteur avec la banque N26. Nous avons à la fois voulu vérifier quelles étaient les nouvelles techniques utilisées par les startups du secteur bancaire (numérisation complète du parcours de souscription) et vérifier si les canaux eCRM étaient utilisés de manière optimale.
Comment obtenir un certificat SSL pour sécuriser son site internet? ssleuropa
Voici le processus mis en place par SSL Europa pour obtenir un certificat SSL.
Le certificat SSL a pour mission de chiffrer et sécuriser les données qui transitent entre le serveur et le navigateur web. De plus, il identifie le site internet comme étant un site de confiance.
Pour bien acheter sur le Web, il est essentiel de donner la possibilité aux clients de payer convenablement et ce, grâce à des solutions de paiements électroniques sécurisés.
Des moyens plus ou moins sécurisés aux sociétés spécialisées dans les transactions en ligne, nous vous proposons un tour d’horizon du paiement sur Internet.
La sécurité informatique expliquée aux salariésNRC
Besoin de sensibiliser vos salariés à la cybersécurité dans votre entreprise afin de limiter les risques d'infection de vos systèmes informatiques ? F-Secure vous donne toutes les clés ! Suivez le guide !
Et rendez-vous sur notre page F-Secure sur : http://www.nrc.fr/f-secure-antivirus/
Similaire à L'authentification forte ou vers la mort du mot de passe (20)
2. De trop nombreux mots de passe
• Nous avons tous maintenant des dizaines de
mots de passe et code PIN. Pour:
– nos ordinateurs et nos Smartphones,
– accéder à nos résidences,
– les différents sites web,
– nos comptes de messageries électroniques,
– nos comptes bancaires,
– accéder à différentes applications Cloud,
– nos réseaux d’entreprises, etc.
26/06/2014 www.aliceandbob.fr 2
3. Un mot de passe par site
26/06/2014 www.aliceandbob.fr 3
4. Des règles difficiles à suivre
• Les spécialistes de la sécurité nous
recommandent :
– d’utiliser des mots de passe complexes avec des
chiffres, des lettres et des caractères spéciaux
– de les changer régulièrement
– d’utiliser des mots de passes différents pour
chaque usage
26/06/2014 www.aliceandbob.fr 4
5. Sommes-nous si loin de la réalité?
"Sorry, your password has been in use for 30 days and has expired - you must register a new one."
"New password:"
roses
"Sorry, too few characters."
pretty roses
"Sorry, you must use at least one numerical character."
1 pretty rose
"Sorry, you cannot use blank spaces."
1prettyrose
"Sorry, you must use at least 10 different characters."
1fuckingprettyrose
"Sorry, you must use at least one upper case character."
1FUCKINGprettyrose
"Sorry, you cannot use more than one upper case character consecutively."
1FuckingPrettyRose
"Sorry, you must use no fewer than 20 total characters."
1FuckingPrettyRoseShovedUpYourAssIfYouDon'tGiveMeAccessRightFuckingNow!
"Sorry, you cannot use punctuation."
1FuckingPrettyRoseShovedUpYourAssIfYouDontGiveMeAccessRightFuckingNow
"Sorry, that password is already in use."
26/06/2014 www.aliceandbob.fr 5
6. Une solution peu satisfaisante
• Malgré toutes ces contraintes impossibles à appliquer le
mot de passe reste une solution d’authentification faible
facilement “craquable”.
• Des outils de récupération de mots de passe surgissent.
• Des listes de mots de passe sont souvent volées.
• Les personnes comme vous et moi utilisons plusieurs fois le
même mot de passe.
• Nous les notons quelque part.
• Le banditisme utilise aujourd’hui des techniques de plus en
plus sophistiquées pour vous voler vos données
personnelles telles que le Phishing.
• Netcraft par exemple a déjà recensé plus de 7 millions sites
de phishing.
26/06/2014 www.aliceandbob.fr 6
10. Authentification forte
• Authentification à 2 ou 3 facteurs
– Ce que je sais (un mot de passe, un code PIN)
– Ce que je possède (un Token, une carte, un SmartPhone,
etc.)
– Ce que je suis (mon empreinte digitale, ma rétine, etc.)
26/06/2014 www.aliceandbob.fr 10
11. L’authentification forte
• Le SMS One Time Password
Un code SMS vous est envoyé sur votre téléphone portable. Ce code n’est utilisable qu’une seule
fois dans un délai très court. Vous entrez ce code via votre écran de saisie pour vous authentifier.
• Le certificat électronique installé sur votre ordinateur ou smartphone
Un certificat électronique et sa clé privée sont installés sur votre machine. Ce certificat
électronique et sa clé privée ne peuvent être interrogés que sur votre machine. Ils sont accessibles
via un code PIN.
• Le certificat électronique sur Token, carte à puce ou clé USB à puce
Un certificat électronique et sa clé privée sont installés dans une puce. Ils ne sont pas extractibles
de la puce. Il faut posséder la puce pour y accéder. Ils sont accessibles via un code PIN.
• Les Token One Time Password
Ces solutions génèrent un mot de passe utilisable une fois dans un délai limité. Le Token le génère
en fonction d’un secret partagé avec le serveur d’authentification et de l’heure / date. Il faut
posséder le Token pour pouvoir entrer le bon code, en plus de votre mot de passe. Attention
néanmoins, le Token de l’entreprise RSA s’est avéré moins solide qu’espéré comme le montre par
exemple l’article de ZDNet ci-dessous.
• Les solutions d’identification biométriques
Les 4 grandes catégories d’identification biométriques sont: la reconnaissance digitale, la
reconnaissance d'iris, la reconnaissance faciale et la reconnaissance vocale. Ces systèmes sont
souvent coûteux, pas encore 100% fiables, et posent des problèmes juridiques face au stockage de
bases de données d’informations biométriques. Enfin dans le cas de l’empreinte digitale, il est
possible de reconstituer une empreinte trouvée par exemple sur un verre et de s’authentifier avec.
26/06/2014 www.aliceandbob.fr 11
13. La perspective de l’utilisateur
• L’authentification forte est une contrainte
• Les opérations supplémentaires et les objets à
porter sur soi complexifient les usages
• Le certificat électronique est une solution
élégante car elle ne requiert rien et est
transparente pour les utilisateurs
26/06/2014 www.aliceandbob.fr 13
14. Le SMS OTP*
*SMS OTP : SMS One Time Password
Code valable une fois pendant une durée limitée
26/06/2014 www.aliceandbob.fr 14
15. Authentification par certificat
électronique
• Un certificat électronique est votre « carte
d’identité numérique ».
• Il est ouvert grâce à un code PIN
• Lorsque vous vous authentifiez sur un réseau,
un site web, etc. ce certificat permet de
vérifier qui vous êtes avant de vous laisser
entrer Code
PIN
OK
26/06/2014 www.aliceandbob.fr 15
16. Clé USB cryptographique
La USB cryptographique contient un puce exactement comme une carte de crédit.
Cette puce contient un certificat électronique et la clé privée. Il est possible d’utiliser
la clé privée mais pas de l’extraire. Un code PIN est demandé, comme pour une
carte de crédit.
26/06/2014 www.aliceandbob.fr 16
18. Différents niveaux de validité
Installé sur votre machine.
Vérification uniquement de
votre adresse email
Installé sur une clé USB
cryptographique.
Vérification de votre carte
d’identité, etc.
Remise en face à face.
Validation faible
Moins de valeur légale
Validation forte
Plus de valeur légale
26/06/2014 www.aliceandbob.fr 18
19. Que choisir ?
Toutes ces solutions sont plus coûteuses que le
login / mot de passe, mais contribuent à
accroître la sécurité.
Les critères dans le choix des solutions sont :
– le prix certes,
– mais aussi le niveau de sécurité,
– et surtout la facilité de mise en œuvre et d’usage.
26/06/2014 www.aliceandbob.fr 19
20. Des standards et initiatives
Kerberos
26/06/2014 www.aliceandbob.fr 20
23. Un marché en expansion
Frost & Sullivan's new Analysis of the Strong Authentication
and One-Time Password (OTP) Market finds the market
earned revenue of $1.52 billion in 2013 and estimates this to
reach $2.16 billion in 2018 at a compound annual growth
rate of nearly 7 percent. The research notes new strong
authentication methods are less expensive than the dominant
hardware OTP method, fueling adoption. The analysis also
finds RSA remains the largest vendor in the industry, with
about one-fifth of the market revenue; however, the breadth
of strong authentication methods creates a market for many
players.
Note: Le marché français correspond à 3,5% du marché
mondial soit $53,2M soit 38,8M€
26/06/2014 www.aliceandbob.fr 23
24. Un poisson d’Avril amusant
Authentification forte : une lutte fratricide au
sommet de l’Etat profite à Google
Interrogé quant à la solidité de sa solution par rapport à celle, largement plus mûre, de
RSA, Paul McHire semble confiant : « nous utilisons beaucoup plus de chiffres.
Beaucoup, beaucoup, plus de chiffres« , révèle McHire. Et à voir le token qui sera fourni
aux collaborateurs des Ministères, on veut bien le croire.
26/06/2014 www.aliceandbob.fr 24
25. Conclusion
• Le mot de passe est très loin d’être
parfait
• Il perd du terrain mais a encore quelques
beaux jours devant lui
• Les solutions d’authentification
commencent à sérieusement émerger
26/06/2014 www.aliceandbob.fr 25
26. Merci !
Voir toutes nos présentations et documents sur Slideshare:
• L’avènement de la signature électronique : en 2014
• La cryptographie et la PKI enfin expliquées simplement
• Comment bien choisir ses certificats SSL
• L’authentification forte ou vers la fin du mot de passe
• Pourquoi migrer ses certificats de Symantec vers une autre Autorité de Certification
• Accroitre la confiance dans les personnes et les machines qui se connectent à votre
réseau d’entreprise
• Les solutions SaaS permettent l’avènement des usages des certificats électroniques
• La vérité sur HeartBleed
• La NSA et les Autorités de Certification : Mythe ou réalité ?
contact@aliceandbob.fr
26/06/2014 www.AliceAndBob.fr 26