> Tech > Accroître la sécurité de la connexion

Accroître la sécurité de la connexion

Tech - Par iTPro - Publié le 24 juin 2010
email

.NET Passport désigne la procédure de sign-in basique que j'ai décrite, sous le nom de sign-in standard. Le sign-in standard présente un risque de sécurité : la livraison des cookies se fait en texte clair plutôt que par HTTPS (HTTP over Secure Sockets Layer), de sorte qu'un intrus pourrait capturer

Accroître la sécurité de la connexion

les
cookies de .NET Passport pendant
qu’ils passent du serveur Login ou du
site Web au navigateur. Il pourrait
ensuite imiter un utilisateur dans la
fenêtre de temps d’authentification défini par le site Web, menant ainsi une
attaque « replay » contre le site Web.
Pour éviter un tel problème, .NET Passport 2.0 (la version la plus récente
au moment de l’écriture de cet article)
supporte deux méthodes de sign-in sécurisées : secure channel sign-in et
strong credential sign-in.

Secure channel sign-in exige que
toute la communication d’authentification
utilise SSL pour protéger la transmission
d’informations entre le navigateur
et le site Web et entre le
navigateur et le serveur Login. Un intrus
ne peut pas extraire des cookies à 
partir d’une information cryptée capturée.
En plus des cookies de sign-in
standard, le serveur Login et le site
Web créent chacun un cookie HTTPS
sécurisé qui ne peut pas être manipulé,
puis comparent le PUID dans le cookie
sécurisé avec le PUID dans les cookies
normaux. S’il n’existe pas de cookie sécurisé
sur la machine de l’utilisateur ou
si deux PUID ne correspondent pas (ce
qui serait le cas si un intrus manipulait
l’un des cookies standard), l’utilisateur
doit répéter le processus de sign-in.

Strong credential sign-in demande
à  l’utilisateur d’entrer une clé de sécurité
de quatre chiffres après un secure
channel sign-in réussi. L’utilisateur
crée cette clé de sécurité dans son
propre compte .NET Passport la première
fois qu’il visite un site Web participant
qui demande strong credential
sign-in ; la clé devient ensuite partie de
l’accréditation de l’utilisateur. Pendant
la création de la clé, l’utilisateur doit répondre
à  3 questions « secrètes » sur 10
(c’est-à -dire des questions non associées
à  l’accréditation ou au profil de
l’utilisateur) et confirmer les réponses
sur une page d’enregistrement séparée
avant que le système .NET Passport
n’active la clé de sécurité. .NET
Passport utilise ces questions et ces réponses
pour confirmer l’identité de
l’utilisateur dans le cas où celui-ci oublierait
sa clé.

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro - Publié le 24 juin 2010