Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

Les dangers de l'authentification par mot de passe 3

Les solutions à mettre en œuvre

securité.JPGLa première pratique à adopter est la définition d'une politique de sécurité globale. Les recommandations doivent bien sûr s'appliquer au domaine technique mais également impliquer les comportements humains.
Cette politique doit s'appuyer, au niveau technique, sur l'usage correct du code de programmation des applications Ainsi les passages en revue du code et l'application de programmes de test rigoureux doivent être soutenus. D'autre part les fonctionnalités codées doivent respecter des règles évidentes de sécurité : rappel de l'ancien mot de passe lors de l'actualisation d'un profil, contrainte de complexité du mot de passe (minimum de symboles exigés, obligation de lettres et de chiffres), utilisation d'un cryptage SSL, suppression des possibilités de cache sur les pages de login etc.
La politique de sécurité doit aussi toucher le rôle des administrateurs du système d'information qui doivent s'imposer une gestion sévère des clés d'authentification : changement des mots de passe périodique, gestion des mises à jour du système et des règles d'authentification …
Enfin, des solutions technologiques comme les infrastructures PKI et les systèmes d'authentification par clef ou carte à puce apparaissent pour pallier les défaillances des dispositifs standards.

 

Un exemple d'authentification par carte à puce : Validy Web Business

La solution Validy Web Business s'appuie sur la technologie exclusive de carte à puce Vcard développée par la société française Validy. Elle permet de s'assurer que seuls les possesseurs de la carte à puce ont accès aux sites web d'information. Ainsi l'utilisateur navigue sur Internet comme il le souhaite. Toutefois, lorsqu'il veut atteindre des pages protégées par Validy Web Business, il doit insérer la Vcard dans le lecteur de cartes connecté à son poste puis valider son mot de passe. La solution va alors contrôler l'accès aux pages et identifier le possesseur de la carte afin de lui ouvrir les pages (personnalisées ou non). La carte ne correspond alors qu'à un type de droit d'accès défini. La solution est basée sur une architecture client/serveur. Les pages délivrées sont cryptées et accessibles uniquement au porteur de carte. La solution utilise des algorithmes de cryptage et des clefs de cryptages secrètes de 128 bits. Des options sont proposées pour des services automatiques tels que le lancement automatique du site dès l'introduction de la carte à puce ou le paiement à l'acte.

http://www.validy.com

 

Les commentaires sont fermés.