La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Vincent HURTEVENT – UCBL

Publié parColette Labranche Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Vincent HURTEVENT – UCBL"— Transcription de la présentation:

1 Vincent HURTEVENT – UCBL - 2016
Authentification TP: Decouverte d’une application PHP permettant l’auto création d’un compte utilisateur et de son authentification Vincent HURTEVENT – UCBL

2 Identification Désigne de façon unique une entité
Une personne login, certificat, URL, Un service URL, certificat Un ordinateur IP, nom DNS Dans une stratégie SSO, il est essentiel de faire le choix d’un identifiant world wide -> S’assurer de l’unicité de l’identifiant, de son existence S’assurer du propriétaire de l’identifiant

3 Authentification = Contrôle d’identité
Valider l’authenticité de l’entité, de l’utilisateur Utiliser une information que seul l’utilisateur connaît  Mot de passe Utiliser une information unique que seul l’utilisateur possède Certificat Utiliser une information qui caractérise l’utilisateur Empreinte Utiliser une information que seul l’utilisateur peut produire Signature Simple, forte, 2FA, MFA, eDIAS Authentification simple Authentification forte eDIAS : MFA, 2FA TP: Authentification simple, mono facteur, le mot de passe Sécuriser

4 Attaque sur mot de passe en clair
Visuellement lors de la saisie Capture réseau Keylogger/Form Grabbing Vol du mot de passe stocké A écouter : Podcast Le Comptoir Sécu avec Hydraze de la team Hashcat : France Culture LSD :

5 Attaque sur mot de passe en clair
Visuellement lors de la saisie Eduquer l’utilisateur Keylogger/Form Grabbing Eduquer l’utilisateur, Antimalware, grille de saisie Capture réseau Eduquer l’admin sys et réseau Vol du mot de passe stocké Eduquer le développeur

6 Attaque sur mot de passe protégé
Bruteforce Dictionnaire Pattern/Masque/Statistiques Stockage de hashs précalculés Stockage partiels de hashs précalculé (Rainbow Tables) En ligne Limiter le nombre d’actes, captcha, ban, log Hors ligne Rendre le stockage du mot de passe le plus résistant aux attaques

7 Fonction a sens unique + Effet d’avalanche : https://fr. wikipedia
!= Fonction de hachage perceptuelle (son, image):

8 Fonctions de hachage pour calcul d’intégrité, somme de contrôle

9 Password cracking, performances
8x Nvidia GTX 1080 Hashcat Benchmarks Hashcat v3.00-beta-145-g069634a, Nvidia driver Hashtype H/s NTLM 334.0 GH/s MD5 200.3 GH/s SHA-256 MH/s PBKDF2-HMAC-SHA256 (1000 tours) kH/s Bcrypt (5 tours) 105.7 kH/s Argon2 NA Agon2d (GPU) – Argon2i (attaque par canal auxiliaire) Spécifications Argon2 : Constructeur spécialisé dans des solutions HPC de cracking de mot de passe : Rainbow Tables :

10 Quel hash pour mot de passe
Argon2 Si disponible Bcrypt* (10/12) Toujours une excellente solution PBKDF2 (10000) Si nécessité d’homologation US (NIST) Attention au nombre de tours

11 OWASP - Password_Storage_Cheat_Sheet

12 Stockage du mot de passe
H = hash(Sel+MotdePasse) Sel long ! : de même longueur que le hash Contenu aléatoire Unique En PHP >5 password_hash() Password_verify()

13 Credits : https://xkcd.com/936/

14 Force d’un mot de passe ANSSI
Testeur de mot de passe Démonstrateur OWASP – Authentication Cheat Sheet

15 OWASP - Input Validation Cheat Sheet
OWASP - SQL Injection Prevention Cheat Sheet OWASP - Blocking_Brute_Force_Attacks Principes généraux pour sécuriser une application et les entrées de formulaire Délais, CAPTCHA :

16 Workflow de création de compte
1. Formulaire sécurisé d’identification Double saisie de l’identifiant 2. Vérification de l’identifiant Vérification syntaxique, de son unicité dans le système Existence réelle Création d’un token unique limité dans le temps transmis par mail L’utilisateur valide le token 3. Initialisation du mot de passe Double saisie Evaluation du mot de passe 4. Stockage du mot de passe Protection à l’enregistrement en masse

17 Worklow d’authentification
1. Formulaire sécurisé d’authentification 2. Recherche de l’utilisateur dans la base et récupération du sel et du hash de mot de passe 3. Sel+Hash du mot de passe saisi par l’utilisateur 4. Comparaison

18 OWASP - Forgot Password Cheat Sheet

19 OWASP - Session Management Cheat Sheet

Télécharger ppt "Vincent HURTEVENT – UCBL"

Présentations similaires

Séminaire EOLE Dijon 23-24 Octobre 2008 Eole SSO.

Séminaire EOLE Dijon Octobre 2008 Eole SSO.
1- Régles de normalisation 2ème partie : normalisation Modèle Conceptuel des Données 2- Les Formes Normales 3- Dépendances Fonctionnelles 4- Recap - Méthodologie.

1- Régles de normalisation 2ème partie : normalisation Modèle Conceptuel des Données 2- Les Formes Normales 3- Dépendances Fonctionnelles 4- Recap - Méthodologie.
La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.

La sécurité. Les limites de l'authentification actuelle - identifiant école ou mairie connu - mot de passe pas toujours modifié - des informations dans.
Séminaire EOLE Beaune 25-26 Septembre 2007 AMON NG.

Séminaire EOLE Beaune Septembre 2007 AMON NG.
GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.

GABRIEL G estion A ssociée des B ases et R éseaux de l’ E nseignement L ibre 12/10/2016 Observatoire SOLFEGE – Nice & Corse.
Les Techniques Biométriques et leurs applications Par Ghislain MUKENDI KALONJI.

Les Techniques Biométriques et leurs applications Par Ghislain MUKENDI KALONJI.
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault

420-B63 Programmation Web Avancée Auteur : Frédéric Thériault
Les Bases de données Définition Architecture d’un SGBD

Les Bases de données Définition Architecture d’un SGBD
Ecran d’accueil Une fois le compte de votre entreprise créé et validé par notre service clients, vous recevrez par , un lien vous invitant à vous.

Ecran d’accueil Une fois le compte de votre entreprise créé et validé par notre service clients, vous recevrez par , un lien vous invitant à vous.
Découvrir FranceConnect

Découvrir FranceConnect
Le réseau pédagogique de l’établissement

Le réseau pédagogique de l’établissement
Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.

Le CMS Joomla La mise en place du CMS est inscrite dans le dossier d’homologation Attente : avoir une plateforme commune de travail et de publication.
SIG 7.5 Sécurité des échanges

SIG 7.5 Sécurité des échanges
L’ordinateur et les réseaux

L’ordinateur et les réseaux
INSIA SRT 3 PAM !.

INSIA SRT 3 PAM !.
Identication & Authentication

Identication & Authentication
Séminaire EOLE Dijon Octobre 2010

Séminaire EOLE Dijon Octobre 2010
ATRIUM Présentation de l’interface Les connecteurs

ATRIUM Présentation de l’interface Les connecteurs
La sécurité Pour les développeurs.

La sécurité Pour les développeurs.
Sécurité - Configuration de

Sécurité - Configuration de

Présentations similaires

Annonces Google