.NET Passport désigne la procédure de sign-in basique que j'ai décrite, sous le nom de sign-in standard. Le sign-in standard présente un risque de sécurité : la livraison des cookies se fait en texte clair plutôt que par HTTPS (HTTP over Secure Sockets Layer), de sorte qu'un intrus pourrait capturer
Accroître la sécurité de la connexion
les
cookies de .NET Passport pendant
qu’ils passent du serveur Login ou du
site Web au navigateur. Il pourrait
ensuite imiter un utilisateur dans la
fenêtre de temps d’authentification défini par le site Web, menant ainsi une
attaque « replay » contre le site Web.
Pour éviter un tel problème, .NET Passport 2.0 (la version la plus récente
au moment de l’écriture de cet article)
supporte deux méthodes de sign-in sécurisées : secure channel sign-in et
strong credential sign-in.
Secure channel sign-in exige que
toute la communication d’authentification
utilise SSL pour protéger la transmission
d’informations entre le navigateur
et le site Web et entre le
navigateur et le serveur Login. Un intrus
ne peut pas extraire des cookies à
partir d’une information cryptée capturée.
En plus des cookies de sign-in
standard, le serveur Login et le site
Web créent chacun un cookie HTTPS
sécurisé qui ne peut pas être manipulé,
puis comparent le PUID dans le cookie
sécurisé avec le PUID dans les cookies
normaux. S’il n’existe pas de cookie sécurisé
sur la machine de l’utilisateur ou
si deux PUID ne correspondent pas (ce
qui serait le cas si un intrus manipulait
l’un des cookies standard), l’utilisateur
doit répéter le processus de sign-in.
Strong credential sign-in demande
à l’utilisateur d’entrer une clé de sécurité
de quatre chiffres après un secure
channel sign-in réussi. L’utilisateur
crée cette clé de sécurité dans son
propre compte .NET Passport la première
fois qu’il visite un site Web participant
qui demande strong credential
sign-in ; la clé devient ensuite partie de
l’accréditation de l’utilisateur. Pendant
la création de la clé, l’utilisateur doit répondre
à 3 questions « secrètes » sur 10
(c’est-à -dire des questions non associées
à l’accréditation ou au profil de
l’utilisateur) et confirmer les réponses
sur une page d’enregistrement séparée
avant que le système .NET Passport
n’active la clé de sécurité. .NET
Passport utilise ces questions et ces réponses
pour confirmer l’identité de
l’utilisateur dans le cas où celui-ci oublierait
sa clé.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Une baie de stockage c’est quoi ?
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Activer la mise en veille prolongée dans Windows 10
