Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

INF4420A > Authentification > Flashcards

Authentification Flashcards

1
Q

Quels sont les 4 grands type d’authentification des usagers?

A
  • Par quelque chose qu’il connait ( mdp)
  • par quelque chose qu’il possède ( carte magnétique, à puce)
  • par quelques chose qu’il est ( biométrique statique, empreinte, rétine, main)
  • par quelque chose qu’il fait ( biométrique dynamique, signature, voix, rythme au clavier)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Quel est le modèle général de l’authentification par mot de passe?

A

1) saisie de l’information ( enregistrement du MP)
2) Conservation en base de données ( vers 3)
3) comparaison –> (décision)
4) saisie de l’information login (vers 4)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Qu’est-ce qu,ne fonction de hachage cryptographique?

A

Une fonction h() est dite de hachage cryptographique si à partir d’un message x, elle produit un “hachage” h(x)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Qu’est-ce que l’absence de collision faible?

A

Il est très difficile de trouve un x’ à partir de h(x) tel que h(x) = h(x’)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Qu’est-ce que l’absence de collision forte?

A

Il est très difficile de trouver un deux message de notre choix x et x’ tel que h(x) = h(x’)( implique absence de collision faible et à sens unique)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Qu’est-ce la caractéristique à sens unique d’une fonction de hachage?

A

il est très difficile de trouver x à partie de h(x) = h(x’)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Nommez 4-5 exemples de fonctions de hachage cryptographiques

A

MD4 ( un peu comme DES, 128 bits)
MD5( collisions en quelques heures, fonction linux md5sum)
SHA-1 (160 bits, collision possible)
sha-2, sha-3

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Quel est le modèle générale de l’authentification par mot de passe avec le hachage cryptographique?

A

1) saisie de l’information ( enregistrement du MP)
2) extraction unidirectionnelle (haché)
3) Conservation en base de données ( vers 4)
4) comparaison –> (décision)
5) extraction unidirectionnelle (haché) (vers 4)
6) saisie de l’information login (vers 4)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Qu’est-ce qu’une attaque dictionnaire?

A

construire une liste de mdp possibles, pour chaque mdp calculer son hach et le stocker dans une table de paire (mdp, hash), voler une base de données de mdp haché et chercher le mot de passe pi correspondant à l’utilisateur ui avec hash hi en cherchant si hi existe dans la table T. s’il lexiste, le mdp est wj.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Quel défense pour une attaque de “deviner le mdp”?

A

online : nb limité d’essais, CAPTCHA, délais après chaque mauvais essaies
offline : hash itération( hacher d fois le mdp avant de le stocker. d = 1000 limite la vitesse de l’attaque par un facteur de 1000), fonction de hash spécialisé ( ARGON, bcrypt, scrypt), salt : ajouter une valeur de haute entropie et stocker ui, si, H(pi + si))

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Nommez plusieurs techniques de base sur les mots de passe?

A
  • Capture et lire le fichier de mdp( surtout si non haché)
  • Deviner mdp
  • Capturer le mot de passe ( keylogger, post-it, etc)
  • Demander à l’usager (social engineering)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Quels sont les vulnérabilités de mots de passe?

A
  • Mots de passe probable (court, dictionnaire)
  • mot de passe avec lien avec l’usage ( infos personnel, familiale)
  • Mauvaise protection des fichiers de mots de passe
  • pas d’authentification du système
    ( problème de base : faible entropie des choix de mdp)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Quels sont les contremesures pour les attaques de mots de passe?

A
  • Algos unidirectionnel ( variation aléatoire pour permettre plus d’une variation possible(salt), utilisation hachage sécuritaire)
  • choix du mdp ( plus de 26 cractères, maj, min chiffres et symboles spéciaux, mdp sufisamment long (phrase de passe), éviter des mots du dictionnaires)
  • Politique de gestion de mot de passe (expiration mdp, mdp à usage unique ( un mdp, un système), contrôle de mécanismes de mise à zéro)
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Qu’es-ce qu’un gestionnaire de mot de passe?

A

permet de stocker des mdps, un mdp maitre pour protéfer plusieurs mdp ( SSO)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

Quels sont les avantages d’un gestionnaire de mdp?

A 
Sécurité :
- mdp généré automatiquement avec plus d'entropie
Convivialité:
- auto remplissage des champs de mdp
- génération automatique de mdp
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Quels sont les avantages d’un gestionnaire de mdp?

A
  • Difficulté de synchronisation entre plusieurs PC
  • Comment choisir un bon mdp maitre
  • Point de défaillance unique
17
Q

Décrit la récupération de mdp

A

Le serveur envoi par courriel un mdp temporaire , communication par courriel pas chiffré
Question secrètes :
- lors de l’enregistrement, l’utilisateur répond des questions prédéfinies
- Basse entropie pour les questions et souvent pour les réponses

18
Q

Qu’est-ce que l’authentification à deux facteurs (2FA)

A

Combiner au moins 2 facteurs d’authentification

  • chaque facteur à besoin d’une attaque différente
  • ex : mp + {biométrie ou jeton}
19
Q

quels sont les 3 méthodes de 2FA?

A

Méthode simple : tous les facteurs vérifés localement par serveur d’auth
Méthode treshold :
n de m facteurs doivent être correct
méthode OTP :
MP + mdp à usage unique (méthode local ou remote)

20
Q

Décrit la méthode OTP local

A

1) enregistrement du device( secret S généré à partir du device ID et une clé maitre
S = h (k, ID)
2) OTP généré localement par dispositif (OTP = h(s, timestramp)
3) OTP envoyé par usager via internet
4) serveur vérifie ( identifie bon ID à partir de nom d’usage, calcule S et h(S, timestamp) et vérifie égale à OTP envoyé

21
Q

Décrit la méthode OTP remote

A

1) usager se connecte en indiquant usager et MP
2) serveur calcule OTP aléatoire
3) serveur obitent no. de téléhpone d’usage sur BD
4) serveur envoie OTP au téléhpone par un autre canal( ex sms)
5) usager entre OTP et envoie via internet

22
Q

Quels sont les avantages et désavantages de la méthode OTP remote?

A

Avantages : force Ève à intercepter deux canaux indépendants
Désavantage : Force usager à être sur réseau cellulaire ou avoir un accès à un deuxième canal

23
Q

Caractéristiques de l’authentification par possession d’un objet unique

A
  • Doit être vraiment unique, possiblement sans BD et difficile/couteux à reproduire.
24
Q

Quels sont les faiblesses de l’authentification par possession d’un objet unique?

A

coût, possibilité de falsification, perte ou vol

25
Q

Caractérisique biométrique dynamique : signature

A
  • tient compte de la dynamique du geste et non seulement de l’apparence de la signature
  • il faut entrainer le système : décision floue
  • la décision est sous forme de probabilité
26
Q

Caractérisique biométrique dynamique : voix

A
  • Le moins précis de toutes les méthodes biométriques
  • il faut entrainer le système
  • sensible à l’état de santé de la personne (laryngite)
  • contrefaçon facile
  • très accepté en général
27
Q

Caractérisique biométrique dynamique : rythme au clavier

A
  • Pas encore très développé
  • décision “floue”
  • complètement trasparent pour l’usage
  • surveillance continuelle tant que le clavier est utilisé
  • non-applicable si une interface graphique d’usager est utilisée
28
Q

Caractérisique biométrique statique: Empreinte digitales

A

Bonne précision : expérience policère antérieur

- la contrefaçon est possible

29
Q

Caractérisique biométrique statique: géométrique de la main

A
  • assez précise

- contrefaçon?

30
Q

Caractérisique biométrique statique: rétine de l’oeil

A
  • La plus précise des méthodes biométriques

- utilisation d’un laser : réticence des usagers

31
Q

Caractérisique biométrique statique: Iris de l’oeil

A
  • Très précis : 266 caractéristiques, 10^78 combinaisons
  • lecture jusqu’à un mètre
  • n’est pas affecté par l’age, la maladie incluant la cataracte
32
Q

Caractérisique biométrique statique: Caractéristiques du visage

A
  • Se rapproche le plus de la méthode humaine
  • le taux de précision reste à améliorer
  • utilisé pour identifier des individus dans des lieux publics
33
Q

Qu’est-ce qu’un signal d’authentification?

A

Adresse IP, cookies, géolocalisation, permet d’augmenter l’assurance d’une authentification, mais peut pas être utilisé comme facteur indépendant

34
Q

Quels sont les problèmes d’authentification dans les réseaux?

A
  • interception de la session d’authentification
  • supplantation du système
  • replay attacks
  • session hi-jacking

INF4420A (10 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions