Authentification Flashcards
Quels sont les 2 principes d’authentifications ?
-
Chiffrement (encryption)
Il est réversible. On peut remonter à l’élément de base si on connait son codage (algorithme) et sa clé de chiffrement. - Principe de l’empreinte (hash)
Le calcul de l’empreinte est destructif, on ne peut pas remonter à l’élément d’origine (irréversible).
Expliquer le principe de l’emprainte.
- Une empreinte (hash), est le résultat d’un calcul appliqué à un «objet» ou élément numérique (fichier, chaîne de caractères).
- L’empreinte a une longueur fixe (64, 128, 256 bits), quelle que soit l’élément qui en est à l’origine .
- A deux éléments différents correspondent deux empreintes différentes et à deux empreintes différentes correspondent deux éléments différents (principe de l’unicité).
Qu’est-ce que l’authentification ?
La confirmation de l’identité prétendue d’entitàs ou d’utilisateurs.
Qu’est-ce que l’identification ?
Consiste à dire qui on est, par exemple à l’aide d’un username.
Sur quoi l’authentification des utilisateurs est basée ?
Sur un couple identifiant / mot de passe associé à un compte.
Les privilèges obtenus sur les systèmes sont fonctions des comptes.
Comment doit être stocké le coule identifiant / mots de passe ?
- Il doit être stocké physiquement.
- Il peut être stocké localement à la machine / service / application ou être stocké sur une ressource distante.
- L’authentification locale repose en générale sur un fichier.
- L’authentification distante s’appuie en général sur un annuaire (on peut parler d’authentification centralisée)
- A un identifiant de type alphanumérique (loginName ou userName) est en général associé un ID numérique utilisé par les processus internes au système.
Qu’est-ce que l’entrpie d’un mot de passe (selon Shannon) ?
Ca caractérise le nombre de combnaisons à tester pour obtenir le mot de passe.
Une entropie de 32 correspond à 2 puissance 32 combinaisons.
Donnez des règles (policy) qu’on peut demander pour les mots de passe.
- Longueur minimale.
- Mélange de lettres, de caractères spéciaux ($, *, etc.) et de chiffres.
- Mélange de minuscules et de majuscules.
- Interdiction des mots de passe ‘proches’ du login.
- Interdiction des mots de passe figurant dans un dictionnaire
- Interdiction de réutiliser des mots de passe.
- Limitation du nombre d’essais…
Principe de l’empreinte appliqué aux mots de passe.
- Le mot de passe n’est pas stocké lui-même.
- Une empreinte, caractéristique du mot de passe, est calculée et stockée (le hash).
- A partir de l’empreinte, il est impossible de remonter au mot de passe, sauf à effectuer des essais systématiques.
Citer 3 algorithmes de hashage.
- MD4 (Message Digest v4): empreinte de 128 bits
- MD5 : empreinte de 128 bits, plus robuste que MD4
- SHA-1 (Secure Hash Algorithm v1): 160 bits (–> 256/512 bits ?)
Comment rendre l’empreinte plus difficile à découvrir?
L’empreinte peut être salé.
Qu’est-ce qe le salage ?
Ca conciste à ajouter une valeur aléatoire (le sel) au mot de passe, avant de calculer l’empreinte résultante.
La valeur aléatoire (le sel) doit être stockée avec l’empreinte.
Différence entre la SAM et l’Active Directory (Windows) ?
La SAM (security accounts manager) où sont stockés les infos user/pw en local (pw enregistré spus forme d’empreinte)
Active Directory où sont stocké les info user/pw sur le réseau
Comment est stocké le mot de passe sous Linux ?
- Le mot de passe est associé à un UID unique local
- UID = 0 → superutilisateur (root )
- Les UID sont attribués séquentiellement par le système
- Les utilisateurs font au moins partie d’un groupe.
- Chaque groupe est associé à un GID unique local
- Les couples identifiants / mots de passe sont stockés localement dans deux fichiers textes.
- /etc/passwd (lisible par tout le monde)
- /etc/shadow (lisible par root)
- /etc/group
Sous Linux, qu’est ce que c’est la PAM (Pluggable Authentication Module) ?
- API permettant de définir des sources d’authentification alternatives (Ldap, NIS, etc.) pour différents services nécessitant un login.
- /etc/pam.conf
- /etc/pam.d/*