Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Vincent HURTEVENT – UCBL - 2016
Authentification TP: Decouverte d’une application PHP permettant l’auto création d’un compte utilisateur et de son authentification Vincent HURTEVENT – UCBL
2
Identification Désigne de façon unique une entité
Une personne login, certificat, URL, Un service URL, certificat Un ordinateur IP, nom DNS Dans une stratégie SSO, il est essentiel de faire le choix d’un identifiant world wide -> S’assurer de l’unicité de l’identifiant, de son existence S’assurer du propriétaire de l’identifiant
3
Authentification = Contrôle d’identité
Valider l’authenticité de l’entité, de l’utilisateur Utiliser une information que seul l’utilisateur connaît Mot de passe Utiliser une information unique que seul l’utilisateur possède Certificat Utiliser une information qui caractérise l’utilisateur Empreinte Utiliser une information que seul l’utilisateur peut produire Signature Simple, forte, 2FA, MFA, eDIAS Authentification simple Authentification forte eDIAS : MFA, 2FA TP: Authentification simple, mono facteur, le mot de passe Sécuriser
4
Attaque sur mot de passe en clair
Visuellement lors de la saisie Capture réseau Keylogger/Form Grabbing Vol du mot de passe stocké A écouter : Podcast Le Comptoir Sécu avec Hydraze de la team Hashcat : France Culture LSD :
5
Attaque sur mot de passe en clair
Visuellement lors de la saisie Eduquer l’utilisateur Keylogger/Form Grabbing Eduquer l’utilisateur, Antimalware, grille de saisie Capture réseau Eduquer l’admin sys et réseau Vol du mot de passe stocké Eduquer le développeur
6
Attaque sur mot de passe protégé
Bruteforce Dictionnaire Pattern/Masque/Statistiques Stockage de hashs précalculés Stockage partiels de hashs précalculé (Rainbow Tables) En ligne Limiter le nombre d’actes, captcha, ban, log Hors ligne Rendre le stockage du mot de passe le plus résistant aux attaques
7
Fonction a sens unique + Effet d’avalanche : https://fr. wikipedia
!= Fonction de hachage perceptuelle (son, image):
8
Fonctions de hachage pour calcul d’intégrité, somme de contrôle
9
Password cracking, performances
8x Nvidia GTX 1080 Hashcat Benchmarks Hashcat v3.00-beta-145-g069634a, Nvidia driver Hashtype H/s NTLM 334.0 GH/s MD5 200.3 GH/s SHA-256 MH/s PBKDF2-HMAC-SHA256 (1000 tours) kH/s Bcrypt (5 tours) 105.7 kH/s Argon2 NA Agon2d (GPU) – Argon2i (attaque par canal auxiliaire) Spécifications Argon2 : Constructeur spécialisé dans des solutions HPC de cracking de mot de passe : Rainbow Tables :
10
Quel hash pour mot de passe
Argon2 Si disponible Bcrypt* (10/12) Toujours une excellente solution PBKDF2 (10000) Si nécessité d’homologation US (NIST) Attention au nombre de tours
11
OWASP - Password_Storage_Cheat_Sheet
12
Stockage du mot de passe
H = hash(Sel+MotdePasse) Sel long ! : de même longueur que le hash Contenu aléatoire Unique En PHP >5 password_hash() Password_verify()
13
Credits : https://xkcd.com/936/
14
Force d’un mot de passe ANSSI
Testeur de mot de passe Démonstrateur OWASP – Authentication Cheat Sheet
15
OWASP - Input Validation Cheat Sheet
OWASP - SQL Injection Prevention Cheat Sheet OWASP - Blocking_Brute_Force_Attacks Principes généraux pour sécuriser une application et les entrées de formulaire Délais, CAPTCHA :
16
Workflow de création de compte
1. Formulaire sécurisé d’identification Double saisie de l’identifiant 2. Vérification de l’identifiant Vérification syntaxique, de son unicité dans le système Existence réelle Création d’un token unique limité dans le temps transmis par mail L’utilisateur valide le token 3. Initialisation du mot de passe Double saisie Evaluation du mot de passe 4. Stockage du mot de passe Protection à l’enregistrement en masse
17
Worklow d’authentification
1. Formulaire sécurisé d’authentification 2. Recherche de l’utilisateur dans la base et récupération du sel et du hash de mot de passe 3. Sel+Hash du mot de passe saisi par l’utilisateur 4. Comparaison
18
OWASP - Forgot Password Cheat Sheet
19
OWASP - Session Management Cheat Sheet
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.