.NET Passport désigne la procédure de sign-in basique que j'ai décrite, sous le nom de sign-in standard. Le sign-in standard présente un risque de sécurité : la livraison des cookies se fait en texte clair plutôt que par HTTPS (HTTP over Secure Sockets Layer), de sorte qu'un intrus pourrait capturer
Accroître la sécurité de la connexion
les
cookies de .NET Passport pendant
qu’ils passent du serveur Login ou du
site Web au navigateur. Il pourrait
ensuite imiter un utilisateur dans la
fenêtre de temps d’authentification défini par le site Web, menant ainsi une
attaque « replay » contre le site Web.
Pour éviter un tel problème, .NET Passport 2.0 (la version la plus récente
au moment de l’écriture de cet article)
supporte deux méthodes de sign-in sécurisées : secure channel sign-in et
strong credential sign-in.
Secure channel sign-in exige que
toute la communication d’authentification
utilise SSL pour protéger la transmission
d’informations entre le navigateur
et le site Web et entre le
navigateur et le serveur Login. Un intrus
ne peut pas extraire des cookies à
partir d’une information cryptée capturée.
En plus des cookies de sign-in
standard, le serveur Login et le site
Web créent chacun un cookie HTTPS
sécurisé qui ne peut pas être manipulé,
puis comparent le PUID dans le cookie
sécurisé avec le PUID dans les cookies
normaux. S’il n’existe pas de cookie sécurisé
sur la machine de l’utilisateur ou
si deux PUID ne correspondent pas (ce
qui serait le cas si un intrus manipulait
l’un des cookies standard), l’utilisateur
doit répéter le processus de sign-in.
Strong credential sign-in demande
à l’utilisateur d’entrer une clé de sécurité
de quatre chiffres après un secure
channel sign-in réussi. L’utilisateur
crée cette clé de sécurité dans son
propre compte .NET Passport la première
fois qu’il visite un site Web participant
qui demande strong credential
sign-in ; la clé devient ensuite partie de
l’accréditation de l’utilisateur. Pendant
la création de la clé, l’utilisateur doit répondre
à 3 questions « secrètes » sur 10
(c’est-à -dire des questions non associées
à l’accréditation ou au profil de
l’utilisateur) et confirmer les réponses
sur une page d’enregistrement séparée
avant que le système .NET Passport
n’active la clé de sécurité. .NET
Passport utilise ces questions et ces réponses
pour confirmer l’identité de
l’utilisateur dans le cas où celui-ci oublierait
sa clé.
Téléchargez cette ressource
Construire une infrastructure cloud optimisée pour l’IA avec Microsoft Azure
Les managers IT ont besoin d’une stratégie claire et de solutions concrètes pour préparer leur infrastructure cloud à l'adoption de l'IA, tout en optimisant les coûts, renforçant la sécurité et développant les compétences internes. Découvrez tous les conseils dans ce guide Insight.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Analyse Patch Tuesday Janvier 2026
- Souveraineté numérique : les décideurs publics veulent prioriser les modèles d’IA souverains
- Dans l’œil du cyber-cyclone : l’excès d’optimisme constitue le risque principal pour la résilience des données
- Les 3 prédictions 2026 pour Java
Articles les + lus
CES 2026 : l’IA physique et la robotique redéfinissent le futur
Les 3 prédictions 2026 pour Java
Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
Face à l’urgence écologique, l’IT doit faire sa révolution
D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
À la une de la chaîne Tech
- CES 2026 : l’IA physique et la robotique redéfinissent le futur
- Les 3 prédictions 2026 pour Java
- Semi-conducteurs : comment l’Irlande veut contribuer à atténuer la pénurie mondiale de puces
- Face à l’urgence écologique, l’IT doit faire sa révolution
- D’ici 2030, jusqu’à 90 % du code pourrait être écrit par l’IA, pour les jeunes développeurs, l’aventure ne fait que commencer
