Authentification

L’identification:
le fait qu’une entité présente son identité
Enter my e-mail or user name

L’authentification:
La confirmation d’une identité d’une entité
Binding of an identity to a subject.
Entring the right password
L’authentification:
Lorsqu’une entité offert une information permettant au
système de confirmer son identité
L’information peut être
v Ce que l’entité connait (mot de passe…etc.)

v Ce que l’entité possède (carte magnétique, badge)

v Ce que l’entité est (empreinte, IRIS, voie…etc.)

v D’Où l’entité est (devant un terminal…etc.)

L’information peut être
v Une information d’authentification (mot de passe)

v Une information complémentaire (question secrètes)

L’information peut être
v Ce que l’entité connait (mot de passe…etc.)

v Ce que l’entité possède (carte magnétique, badge)

v Ce que l’entité est (empreinte, IRIS, voie…etc.)

v D’Où l’entité est (devant un terminal…etc.)

 Mot de passe
Une information lié à une entité pour confirmer son identité

Chaine de caractères

Comment choisir son mot de passe

• Taille pas assez grandes ni assez petite => entre 8 à 32 caractères

• Contient à la fois minuscule, majuscule, numéro, et caractères spéciaux

• Significatif seulement pour leur créateur

 Attaques sur les Mot de passe
Attaques par dictionnaire (force brute)
• Tester tous les mots de passe possibles jusqu’à trouver le vrai
• Complexité élevée et linéairement liée à la taille du mot
Mot binaire de taille t => 𝟐𝒕 𝒎𝒐𝒕𝒔 𝒅𝒆 𝒑𝒂𝒔𝒔𝒆 𝒑𝒐𝒔𝒔𝒊𝒃𝒍𝒆

Attaques linéaire
• Tester tous les caractères possibles dans la première position en prenant
les autres aléatoire et calculer le temps de réponse
• Le caractère indiquant le temps de réponse le plus long est considéré
comme valide et sera fixé
• On passe au caractère suivant
• Moins de complexité
 Problèmes dans l’architecture moderne

Possibilité de récupérer mot de passe en tapant

un mot expiré (ancien mot de passe)

Solutions proposées:

Utiliser ce que l’entité possède pour le

changement de mot de passe, notamment
numéro de téléphone, mail de reset
 Pour mieux protéger son mot de passe

v Ne stocker pas le mot de passe dans un fichier accessible par tout le monde

v Changer le mot de passe périodiquement e.i.: chaque 72 heures

v Ne donner pas le mot de passe à n’importe qui

v N’utiliser pas les informations publiques (date de naissance, nom…etc.)

 Challenge-Response
v Ce que utilise les militaires dans leur bases

v Un serveur possède une liste des questions secrètes avec réponses ou bien
un algorithme qui génère des questions aléatoires avec réponse déduite

v L’entité est authentifiée si et seulement si elle possède la bonne réponse

Points forts:
• Possibilité d’utiliser le principe de mot de passe jetable
• Utilisation de l’information secrète
• Hardware authentification (parler pour entrer)
 Challenge-Response
Points faibles:
• Vulnérables aux attaques par dictionnaires

Exemple:
Question => générer aléatoirement une chaine de caractères de taille 8
Réponse => le mot en réponse est les caractères de positions: 2,5,6,8
Attaque => essayer tous les combinaison de 2,5,6 et 8 alors que les
autres soient aléatoires
 Biométrie
Utiliser ce qui est l’entité

• Empreinte digitale

• Voie

• IRIS

• Visage