Voilà maintenant plus d’un mois que le Geneva Application Security Forum s’est déroulé. Ce fut un événement riche en rencontres, réflexions, idées et points ouverts. Notamment sur la sécurité des IDP OpenID ..... Un futur sujet à traiter :-)
Je trouve enfin un peu de temps pour écrire un billet sur la Citadelle. Ce ne sont pas les sujets qui manquent mais simplement le temps…
Depuis quelque temps, les technologies d’authentification forte se démocratisent et c’est une bonne nouvelle pour les utilisateurs du Web 2.0. Encore réservé aux entreprises ou aux geeks, ces technologies sont désormais disponibles gratuitement pour les utilisateurs soucieux de sécuriser leurs identités numériques dans le monde digital.
Oui, c’est une bonne nouvelle ! Mais comment profiter de celle-ci ?
Tout simplement en utilisant le protocole OpenID. Le fournisseur d'identités Clavid, basé en Suisse, offre maintenant la possibilité de protéger son identifiant OpenID avec une authentification forte. Je vous encourage donc vivement à créer, si ne n’est déjà fait, un compte OpenID et de l’associer à un authentifieur.
Vous avez désormais la possibilité d’utiliser un authentifieur de type One Time Password (OTP) sur votre smartphone, de recevoir un OTP par sms ou d’utiliser un authentifieur hardware (comme par exemple Ubikey) ou encore un certificat digital X509.
Cette approche vous permettra, de façon gratuite ou avec un investissement minimum, de bénéficier d’une technologie d’authentification forte au même titre que les entreprise les plus soucieuses de leur sécurité.Je me réjouis de suivre cette évolution pour que l’accès au monde numérique soit de plus en plus sûr et que OpenID ouvre la porte à une protection plus efficace de ses identités numériques.
Je vous souhaite une exploration pleine de découvertes dans le monde de la sécurité des identités numériques.
Sylvain Maret
-------------------------------------
Plus d'informations
Solution Open Source pour l'authentification forte:
Mobile-OTP
Mobile‐OTP is an open source project that provides source code, links and information on the Source‐Forge project site: http://motp.sourceforge.net/
Mobile-OTP is a time based OTP method taking a timestamp, a shared secret as well as a PIN as foundation to generate OTP. Most of the following OTP client software for mobile phones is available for free or at very low cost:
«mOTP» for iPhone available at: http://itunes.apple.com/ch/app/motp‐mobile‐onetimepasswords/id318414073?mt=8
«iOTP» for iPhone available at: http://itunes.apple.com/ch/app/iotp/id328973960?mt=8
«mobile otp» for iPhone available at: http://itunes.apple.com/ch/app/mobile‐otp/id353429059?mt=8
«CitrusOTP» for iPhone available at: http://itunes.apple.com/app/citrusotp/id320530967?mt=8
«Mobile‐OTP» for Android available at: http://www.androlib.com/android.application.org‐cry‐otp‐pxEE.aspx
«mOTP+» MIDlet for mobile phones supporting Java. Info available at: http://www.freeauth.org/
Challenge / Response OTP based on RFC 2289
RFC 2289 is a one time password systems specified back in 1998. The standard is still in use and supported by various clients. Additional information on RFC 2289 is available at the IETF web site: http://tools.ietf.org/html/rfc2289
OATH-HOTP (RFC 4226) specified by the Initiative for Open Authentication
The «Initiative for Open Authentication» is a working group which is well known as OATH. The working group does standardize strong authentication methods such as OATH HOTP and publishes its information at their web site: http://www.openauthentication.org/
Additional information on RFC 4226 is available at the IETF web site: http://tools.ietf.org/html/rfc4226
Draft TOTP - Time-based One-time Password Algorithm
As defined in [RFC4226] the HOTP algorithm is based on the HMAC-SHA-1
algorithm, as specified in [RFC2104] applied to an increasing counter
value representing the message in the HMAC computation.
Basically, the output of the HMAC-SHA-1 calculation is truncated to
obtain user-friendly values:
HOTP(K,C) = Truncate(HMAC-SHA-1(K,C))
where Truncate represents the function that can convert an HMAC-SHA-1
value into an HOTP value.
TOTP is the time-based variant of this algorithm where a value T
derived from a time reference and a time step replaces the counter C
in the HOTP computation.
The default HMAC-SHA-1 function could be replaced by HMAC-SHA-256 or
HMAC-SHA-512 to leverage HMAC implementations based on SHA-256 or
SHA-512 hash functions.
Draft OCRA - OATH Challenge/Response Algorithms Specification
OATH [OATH] has identified several use cases and scenarios that
require an asynchronous variant to accommodate users who do not want
to maintain a synchronized authentication system. A commonly
accepted method for this is to use a challenge-response scheme.
Such challenge response mode of authentication is widely adopted in
the industry. Several vendors already offer software applications
and hardware devices implementing challenge-response - but each of
those uses vendor-specific proprietary algorithms. For the benefits
of users there is a need for a standardized challenge-response
algorithm which allows multi-sourcing of token purchases and
validation systems to facilitate the democratization of strong
authentication. Additionally, this specification describes the means
to create symmetric key based digital signatures. Such signatures
are variants of challenge-response mode where the data to be signed
becomes the challenge.
1 commentaires:
Bonjour,
C'est effectivement un sujet à la mode. Je viens d'ailleurs de travailler dessus: l'utilisation d'un Trusted Platform Module dans le cadre de l'authentification forte (http://infond.blogspot.com).
Merci pour ces infos.
t0ka7a
Enregistrer un commentaire