L’authentification par mot de passe unique

Magazine
Marque
Linux Pratique
Numéro
120
Mois de parution
juillet 2020
Domaines


Résumé

Depuis quelques années, le vol de mot de passe est devenu une industrie. Pour lutter contre le piratage que cela induit, de grands acteurs d’Internet (Google, GitHub…) incitent à utiliser une double authentification : mot de passe classique plus un code temporaire, envoyé par SMS ou généré par une application. Voici comment faire la même chose sur vos machines.


1. Les problèmes posés par les mots de passe classiques

Les mots de passe existent sous Unix/Linux depuis 50 ans, mais ils posent des problèmes. Tout d’abord, les premiers protocoles réseaux (Telnet, FTP, HTTP, POP3, IMAP…) ne sont pas chiffrés : les mots de passe sont donc accessibles à un attaquant qui écoute le réseau. La solution est d’utiliser si possible des protocoles chiffrés (SSH, HTTPS, IMAPS), mais ce n’est pas toujours possible. Ensuite, pour contrer les attaques par force brute, il est devenu nécessaire, avec l’augmentation de la puissance des ordinateurs, d’utiliser des mots de passe de plus en plus longs, donc difficiles à mémoriser et fastidieux à taper. À cause de cette complexité, certains utilisateurs les réutilisent sur plusieurs sites, ce qui est une mauvaise pratique.

La question du remplacement des mots de passe revient donc régulièrement dans la presse informatique (par exemple [silicon]), et les solutions proposées sont...

Cet article est réservé aux abonnés. Il vous reste 91% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Investigation numérique de l’image disque d’un environnement Windows

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Une investigation numérique requiert de nombreuses étapes. Celles-ci varient en fonction des données disponibles. Une des plus importantes est l’analyse de la mémoire vive (voir MISC N°111 [1]). L’analyse de la mémoire de masse, constituée des événements propres au système d’exploitation apporte de nouveaux éléments. Une fois celles-ci terminées, la corrélation des deux nous permettra de confirmer d’éventuelles hypothèses.

Sécurisez votre réseau

Magazine
Marque
Linux Pratique
HS n°
Numéro
49
Mois de parution
novembre 2020
Domaines
Résumé

Maintenant que notre serveur principal est déployé et que nous y avons appliqué un premier niveau de sécurisation système, occupons-nous de sa sécurisation réseau. Nous allons détailler en quoi les attaques réseau sont primordiales dans notre modèle de menace. Comme nous le verrons, l’accès distant est le risque principal qui guette nos serveurs. Nous allons mettre en œuvre une sécurité en profondeur et les mesures de protection réseau en seront une de ses dimensions importantes.

CVE-2020-3433 : élévation de privilèges sur le client VPN Cisco AnyConnect

Magazine
Marque
MISC
Numéro
112
Mois de parution
novembre 2020
Domaines
Résumé

Cet article explique comment trois vulnérabilités supplémentaires ont été découvertes dans le client VPN Cisco AnyConnect pour Windows. Elles ont été trouvées suite au développement d’un exploit pour la CVE-2020-3153 (une élévation de privilèges, étudiée dans MISC n°111). Après un rappel du fonctionnement de ce logiciel, nous étudierons chacune de ces nouvelles vulnérabilités.