L'Authentification

Mécanisme impliquant 2 entités :

- Un prouveur qui cherche à prouver son identité.

- Un vérifieur qui doit être capable d'assurer la validité et l'identité.

• robustesse du mot de passe souvent trop légère
• la déduction peut être facile (même login sur plusieurs apps...)
• attaque brute force possible
• exposition du risque globalement élevé par rapport à des services sensibles
• le recours à un coffre-fort décale le problème 

Auth. login / mot de passe

Les limites

"Une authentification multifacteur permet de prouver l'identité d'un utilisateur par vérification de plusieurs éléments, appelés facteurs d'authentification" (ANSSI)

Création

Utilisation

Révocation

Authentification forte ≠ MFA

- ANSSI

cryptographie

L'authentification est un mécanisme fortement dépendant du contexte

– ANSSI

⚠️ pensez à journaliser les échecs

• Basé sur une fonction de hashage
• Utilisation du temps Unix
• Exploite Base32 (rfc 4648)
• S'appuie sur HMAC (rfc2104), hachage à clé, dans notre cas exploite SHA
• Besoin d'une clé secrète

Fondements

👋 S'il se base sur le timestamp... ça change toutes les secondes ?

Dans le détail

Dans le détail

Interval 30s (recommandation rfc)

RFC 4226 section 4 Requirement 6 requires a minimum key length of 128 bits, and a recommend of 160 bits.

The key is represented as a base32 string, which stores 5 bits per character, so the string in the QR code should be at least 26 characters long (128/5 rounded up), preferably 32 characters.

Longeur de clé