.NET Passport désigne la procédure de sign-in basique que j'ai décrite, sous le nom de sign-in standard. Le sign-in standard présente un risque de sécurité : la livraison des cookies se fait en texte clair plutôt que par HTTPS (HTTP over Secure Sockets Layer), de sorte qu'un intrus pourrait capturer
Accroître la sécurité de la connexion
les
cookies de .NET Passport pendant
qu’ils passent du serveur Login ou du
site Web au navigateur. Il pourrait
ensuite imiter un utilisateur dans la
fenêtre de temps d’authentification défini par le site Web, menant ainsi une
attaque « replay » contre le site Web.
Pour éviter un tel problème, .NET Passport 2.0 (la version la plus récente
au moment de l’écriture de cet article)
supporte deux méthodes de sign-in sécurisées : secure channel sign-in et
strong credential sign-in.
Secure channel sign-in exige que
toute la communication d’authentification
utilise SSL pour protéger la transmission
d’informations entre le navigateur
et le site Web et entre le
navigateur et le serveur Login. Un intrus
ne peut pas extraire des cookies à
partir d’une information cryptée capturée.
En plus des cookies de sign-in
standard, le serveur Login et le site
Web créent chacun un cookie HTTPS
sécurisé qui ne peut pas être manipulé,
puis comparent le PUID dans le cookie
sécurisé avec le PUID dans les cookies
normaux. S’il n’existe pas de cookie sécurisé
sur la machine de l’utilisateur ou
si deux PUID ne correspondent pas (ce
qui serait le cas si un intrus manipulait
l’un des cookies standard), l’utilisateur
doit répéter le processus de sign-in.
Strong credential sign-in demande
à l’utilisateur d’entrer une clé de sécurité
de quatre chiffres après un secure
channel sign-in réussi. L’utilisateur
crée cette clé de sécurité dans son
propre compte .NET Passport la première
fois qu’il visite un site Web participant
qui demande strong credential
sign-in ; la clé devient ensuite partie de
l’accréditation de l’utilisateur. Pendant
la création de la clé, l’utilisateur doit répondre
à 3 questions « secrètes » sur 10
(c’est-à -dire des questions non associées
à l’accréditation ou au profil de
l’utilisateur) et confirmer les réponses
sur une page d’enregistrement séparée
avant que le système .NET Passport
n’active la clé de sécurité. .NET
Passport utilise ces questions et ces réponses
pour confirmer l’identité de
l’utilisateur dans le cas où celui-ci oublierait
sa clé.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
- Comment le Quarter Plan permet d’aligner IT et Métiers pour délivrer
