RSA SecurID

RSA SecurID

SecurID

SecurID est un système de token ou authentifieur pour l'authentification forte d'un individu. Cet authentifieur est produit par la société RSA Security. Il fonctionne sur le principe du mode one-time password (ou OTP) sur la base d'un secret partagé (seed). La majorité des authentifieurs SecurID affichent un code à 6 chiffres (dit TokenCode) chaque 60 secondes. L'utilisateur entre alors un Code NIP associé au TokenCode lu sur le SecurID.

Le tout est appelé un PASSCODE (soit PASSCODE = Code NIP + TokenCode).

Ce système est largement utilisé par les entreprises[réf. nécessaire], notamment pour les applications Web (par exemple le eBanking) et les technologies de type VPN (IPSEC, SSL). Ce système est simple à utiliser et offre un très bon niveau de sécurité[réf. nécessaire].

Lors d'une authentification, le serveur génère les « passcode » à partir de son horloge et des codes NIP de sa base de données puis compare avec celui fourni. Si un « passcode » correspond, l'authentification est réussie.

Il existe cependant un problème celui de la désynchronisation de l'horloge du SecurID. En fait il existe un système d'ajustement et la clef expire après 3 ans.

Sécurité

L'utilisation d'un OTP protège la solution RSA SecurID contre les attaques par rejeu : un attaquant qui aurait réussi à récupérer un OTP (par exemple à l'aide d'un keylogger) n'est pas en mesure de s'authentifier.

Par ailleurs, plusieurs attaques affectant le RSA SecurID peuvent être envisagées :

  • Exploitation de l'absence d'authentification du serveur.

La solution RSA SecurID n'implémente aucun mécanisme d'authentification du serveur. Un attaquant peut alors imaginer un scénario dans lequel l'utilisateur entre son OTP dans une page créée par l'attaquant, mais dont l'aspect ressemble à celui du site original. L'attaquant est ainsi en mesure de récupérer un jeton non consommé, ce qui lui permet de s'authentifier sur le site original.

Pour pallier un tel scénario, il est nécessaire de réaliser une authentification du serveur. Ceci peut se faire à l'aide du protocole SSL, qui utilise un certificat numérique. Ce fichier doit être signé par une Autorité de Certification (AC) de confiance, qui garantira à l'utilisateur l'identité du serveur.

  • Attaque s'appuyant sur une vulnérabilité de type Cross Site Scripting (XSS).

Une attaque plus évoluée que la précédente consisterait à exploiter une vulnérabilité de type Cross Site Scripting. Une possibilité serait d'injecter un formulaire qui s'afficherait sur le navigateur de l'utilisateur. Ceci présente l'avantage que le code s'exécute sur le poste de l'utilisateur, qui est connecté sur le serveur considéré comme étant de confiance.

  • Portail de la sécurité informatique Portail de la sécurité informatique
  • Portail de la cryptologie Portail de la cryptologie
Ce document provient de « SecurID ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article RSA SecurID de Wikipédia en français (auteurs)

Игры ⚽ Нужно решить контрольную?

Regardez d'autres dictionnaires:

  • SecurID — RSA SecurID Логотип RSA SecurID …   Википедия

  • SecurID — RSA SecurID is a mechanism developed by RSA Security for performing two factor authentication for a user to a network resource. Overview The RSA SecurID authentication mechanism consists of a token mdash;a piece of hardware (e.g. a token or USB)… …   Wikipedia

  • SecurID — Klassisches Modell der RSA SecurID als Schlüsselanhänger. Neuere …   Deutsch Wikipedia

  • SecurID — Un token SecurID. SecurID est un système de token, ou authentifieur, produit par la société RSA Security et destiné à proposer une authentification forte à son utilisateur dans le cadre de l accès à un système d information. Il fonctionne sur le… …   Wikipédia en Français

  • RSA Security — Infobox Company company name = RSA, The Security Division of EMC company company type = Division (organization) of EMC Corporation company slogan = ? foundation = 1986 location = Bedford, Massachusetts key people = Arthur W. Coviello, Jr.,… …   Wikipedia

  • RSA Security — Inc. Rechtsform Corporation Gründung 1986 Sitz B …   Deutsch Wikipedia

  • RSA Laboratories — RSA Security Pour les articles homonymes, voir RSA. Logo de RSA Security …   Wikipédia en Français

  • RSA Security Inc. — RSA Security Pour les articles homonymes, voir RSA. Logo de RSA Security …   Wikipédia en Français

  • RSA Security — Saltar a navegación, búsqueda RSA, The Security Division of EMC Eslogan ? Tipo Filial de la EMC Corporation (NYSE: EMC) Fundación …   Wikipedia Español

  • RSA Security — Pour les articles homonymes, voir RSA. Logo de RSA Security …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”