En testant diverses méthodes d'authentification, j'ai soudainement (ça
montre que j'avais pas réfléchi bien longtemps avant) pensé à un
problème : dans un cybercafé ou autre point d'accès internet public
(physique, pas uniquement la connexion), qq un qui se connecte, même en
https, une session courte, etc. va laisser ses identifiants sur le
navigateur.
Donc n'importe qui peut venir ensuite et exploiter ces données très
facilement, qu'elles aient été envoyées en get ou en post.
Sans parler bien sûr des keylogger et autres techniques : je pars du
principe que ce n'est pas le tenancier qui est malhonnête dans ce cas de
figure.
Alors comment se protéger au mieux de ça (pour une appli simple, pas se
balader avec un token rsa)?
En fait, est-il tout simplement possible de s'en prémunir (hormis donc
token - trop cher -, carte à puce - puisque pas de lecteur -), quitte à
avoir une identification renforcée dans cette situation ?
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
Tu ne ramènes avec ton clavier :) (filaire bien sûr).
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
Le OTP est effectivement la seule solution qui m'a paru convenable en partant du fait que je suis en environnement hostile pour ssh. Je risque toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a naturellement tendance à se sentir en sécurité ; on tappe facilement des couples login/password qui eux peuvent être récupéré par le keylogger. Si ces accès concernent d'autres machines/protocoles accessibles directement depuis le net, c'est cuit aussi :)
J'ai deux cas de figure : - un client qui consulte sa messagerie (messages confidentiels, et ceci dans des pays pas toujours très... sûrs) en plusieurs endroits. - moi qui me connecte aux serveurs en ssh
Dans le premier cas, on doit conserver une certaine simplicité et "convivialité". https (chiffrement faible interdit) et otp devrait suffire.
Dans le second, je n'ai jamais eu à aller dans un cybercafé, puisque j'ai putty (et keypass) sur mon pdaphone (bon, je m'amuserai pas à faire 5 heures de config sur l'écran en 300x240 :)). Mais au cas où, l'authentification pour ssh se fait par certificat (rsa 1k) + mot de passe (> 12 signes). Je pense que c'est suffisant (je ne gère pas les serveurs de la Banque de France). Je ne sais pas si tunneler ça aurait un grand intérêt (hormis, peut-être, de contourner les problèmes de port chez McDonalds :)). Si je dois me connecter par interface web (regarder des graphs, consulter des mails...), je suis en https + mdp apache en md5 (auth digest). Mais là, pour le coup, surement pas dans un cyber-café !
Eric Razny a écrit :
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
Tu ne ramènes avec ton clavier :) (filaire bien sûr).
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
moins sur des machines linux) et il existe des clients (pour calculer le
password) à peut près sous tout et n'importe quoi, et en particulier les
pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
Le OTP est effectivement la seule solution qui m'a paru convenable en
partant du fait que je suis en environnement hostile pour ssh. Je risque
toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a
naturellement tendance à se sentir en sécurité ; on tappe facilement
des couples login/password qui eux peuvent être récupéré par le
keylogger. Si ces accès concernent d'autres machines/protocoles
accessibles directement depuis le net, c'est cuit aussi :)
J'ai deux cas de figure :
- un client qui consulte sa messagerie (messages confidentiels, et ceci
dans des pays pas toujours très... sûrs) en plusieurs endroits.
- moi qui me connecte aux serveurs en ssh
Dans le premier cas, on doit conserver une certaine simplicité et
"convivialité". https (chiffrement faible interdit) et otp devrait suffire.
Dans le second, je n'ai jamais eu à aller dans un cybercafé, puisque
j'ai putty (et keypass) sur mon pdaphone (bon, je m'amuserai pas à faire
5 heures de config sur l'écran en 300x240 :)).
Mais au cas où, l'authentification pour ssh se fait par certificat (rsa
1k) + mot de passe (> 12 signes). Je pense que c'est suffisant (je ne
gère pas les serveurs de la Banque de France). Je ne sais pas si
tunneler ça aurait un grand intérêt (hormis, peut-être, de contourner
les problèmes de port chez McDonalds :)).
Si je dois me connecter par interface web (regarder des graphs,
consulter des mails...), je suis en https + mdp apache en md5 (auth
digest). Mais là, pour le coup, surement pas dans un cyber-café !
Le Thu, 17 Jul 2008 07:28:39 +0000, Olivier Masson a écrit :
Adrien a écrit :
Et si tu navigues à partir d'une clé USB, ça ne règle pas le problème?
Même pas, il existe des keyloggers "physiques" :)
Tu ne ramènes avec ton clavier :) (filaire bien sûr).
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
Le OTP est effectivement la seule solution qui m'a paru convenable en partant du fait que je suis en environnement hostile pour ssh. Je risque toujours le hijacking de ma session ouverte mais pas les rejeux.
Néanmoins attention : sur son seurveur sous ssh (par exemple) on a naturellement tendance à se sentir en sécurité ; on tappe facilement des couples login/password qui eux peuvent être récupéré par le keylogger. Si ces accès concernent d'autres machines/protocoles accessibles directement depuis le net, c'est cuit aussi :)
J'ai deux cas de figure : - un client qui consulte sa messagerie (messages confidentiels, et ceci dans des pays pas toujours très... sûrs) en plusieurs endroits. - moi qui me connecte aux serveurs en ssh
Dans le premier cas, on doit conserver une certaine simplicité et "convivialité". https (chiffrement faible interdit) et otp devrait suffire.
Dans le second, je n'ai jamais eu à aller dans un cybercafé, puisque j'ai putty (et keypass) sur mon pdaphone (bon, je m'amuserai pas à faire 5 heures de config sur l'écran en 300x240 :)). Mais au cas où, l'authentification pour ssh se fait par certificat (rsa 1k) + mot de passe (> 12 signes). Je pense que c'est suffisant (je ne gère pas les serveurs de la Banque de France). Je ne sais pas si tunneler ça aurait un grand intérêt (hormis, peut-être, de contourner les problèmes de port chez McDonalds :)). Si je dois me connecter par interface web (regarder des graphs, consulter des mails...), je suis en https + mdp apache en md5 (auth digest). Mais là, pour le coup, surement pas dans un cyber-café !
Olivier Masson
Olivier Masson a écrit :
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
Olivier Masson a écrit :
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au
moins sur des machines linux) et il existe des clients (pour calculer le
password) à peut près sous tout et n'importe quoi, et en particulier les
pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
OPIE ne marche pas trop mal et est assez simple à mettre en oeuvre (au moins sur des machines linux) et il existe des clients (pour calculer le password) à peut près sous tout et n'importe quoi, et en particulier les pda et autres smartphones.
Merci, ça pourra vraiment m'intéresser !
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
Eric Masson
Olivier Masson writes:
'Lut,
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
Pas vraiment non : http://www.inner.net/opie
-- RM : (Lance ResEdit ou Resorcerer ...) PC : C'est fini tout ça, ils écrivent leurs trucs en binaire chinois recompilé en martien. -+- PC in Guide du Macounet Pervers : ResEdit a marche pu -+-
Olivier Masson <sisemen@laposte.net> writes:
'Lut,
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
Pas vraiment non :
http://www.inner.net/opie
--
RM : (Lance ResEdit ou Resorcerer ...)
PC : C'est fini tout ça, ils écrivent leurs trucs en binaire chinois
recompilé en martien.
-+- PC in Guide du Macounet Pervers : ResEdit a marche pu -+-
C'est surtout un truc (groupware ? framework ?) pour pda, non ?
Pas vraiment non : http://www.inner.net/opie
-- RM : (Lance ResEdit ou Resorcerer ...) PC : C'est fini tout ça, ils écrivent leurs trucs en binaire chinois recompilé en martien. -+- PC in Guide du Macounet Pervers : ResEdit a marche pu -+-
Olivier Masson
Eric Masson a écrit :
Pas vraiment non : http://www.inner.net/opie
http://opie.handhelds.org/cgi-bin/moin.cgi/ Et ce opie à un module permettant le otp, si on en croit les lib présentes dans le package debian :) Merci pour le lien. Et du coup j'ai découvert l'autre opie qui est intéressant.
Eric Masson a écrit :
Pas vraiment non :
http://www.inner.net/opie
http://opie.handhelds.org/cgi-bin/moin.cgi/
Et ce opie à un module permettant le otp, si on en croit les lib
présentes dans le package debian :)
Merci pour le lien.
Et du coup j'ai découvert l'autre opie qui est intéressant.
http://opie.handhelds.org/cgi-bin/moin.cgi/ Et ce opie à un module permettant le otp, si on en croit les lib présentes dans le package debian :) Merci pour le lien. Et du coup j'ai découvert l'autre opie qui est intéressant.
