Authentification Forte avec la clé USB swekey

[Invité]

Bienvenue, Invité. Veuillez vous connecter ou vous inscrire.

Connexion avec identifiant et mot de passe

[swekey]

La swekey est une clé USB d'authentifcation (http://www.swekey.com).

Un MOD a été réalisé pour supporter SMF 1.x

Grace à ce MOD vous pouvez maintenant sécuriser votre compte SMF et même si quelqu'un connait votre mot de passe il ne pourra pas se connecter à votre compte.

Le MOD est déjà installé sur notre site de démo http://smf1.swekey.com   
Vous pouvez essayer de vous connecter avec utilisateur 'demo' et mot de passe 'demo123'...

Toute question est la bienvenue.

Luc

[maximus23]

Annonce commerciale...!!!

[swekey]

Commercial ?
J'ai passé 15 jours à faire ce MOD pour qwe SMF soit compatible avec la swekey!
Je l'ai fait par ce que je préfère SMF a phpBB.

[GravuTrad]

Pas ton mod luc, mais ta clé.

J'avais bien reçu ton mail, mais je ne savais quoi répondre.

En effet, même si ton mod est gratuit, c'est avant tout pour vendre ta clé.

Personnellement ca ne me dérange pas.

[smf-fr]

Bonjour,

Toutes mes excuses à l'équipe pour mon intervention, ce post m'a interpellé lorsque j'ai vu Forte authentification.
La sécurité étant le soucis de tous, j'ai bien compris que la clé visiblement stocke un id unique (32c), ce qui me pose problème quand on parle d'authentification Forte c'est de voir cet id stocké. Pour le mod il sera à revoir, il compromet à lui seul la sécurité d'un forum smf.

Le concept bien qu'intéressant, déjà largement éprouvé dans les logiciels industriels de dessin, me semble à mon sens inapproprié pour des sites web. De plus, indiqué sur la page d'accueil de ne pas choisir de mot de passe complexe, va à l'encontre des principes de bases de sécurité.
Il serait plus judicieux d'indiquer qu'il renforce l'identification plutôt que d'indiquer qu'il remplace l'identification à lui seul. Enfin rien n'est expliqué sur le principe de fonctionnement de cette clé (bien que le code m'en dit plus).

Quelles sont les certifications de cette clé en matière de sécurité?
Il serait intéressant de préciser comment vous vérifiez l'id de la clé (connexion à un serveur sécurisé par ssl ou javascript directement sur les fichiers), autant de point qui à mon sens font partie de la sécurité logique et dont chaque admin devrait se préoccuper.

Cordialement

[swekey]

La sécurité étant le soucis de tous, j'ai bien compris que la clé visiblement stocke un id unique (32c), ce qui me pose problème quand on parle d'authentification Forte c'est de voir cet id stocké.

Cela ne pose aucun problème de sécurité stocker l'id. Cette information est publique et inutilisable sans la clé.

Pour le mod il sera à revoir, il compromet à lui seul la sécurité d'un forum smf.

Merci de m'indiquer quel est le problème.
Ce MOD a déjà été revu par le team SMF qui n'a pas trouvé de problème de sécurité.

Le concept bien qu'intéressant, déjà largement éprouvé dans les logiciels industriels de dessin, me semble à mon sens inapproprié pour des sites web.

C'est pourtant pour l'instant le seul moyen efficace et convivial de lutter contre le phishing et le vol d'identité

De plus, indiqué sur la page d'accueil de ne pas choisir de mot de passe complexe, va à l'encontre des principes de bases de sécurité.
Il serait plus judicieux d'indiquer qu'il renforce l'identification plutôt que d'indiquer qu'il remplace l'identification à lui seul. Enfin rien n'est expliqué sur le principe de fonctionnement de cette clé (bien que le code m'en dit plus).

Tout est expliqué sur le site développeur  http://developer.swekey.com

Quelles sont les certifications de cette clé en matière de sécurité?
Il serait intéressant de préciser comment vous vérifiez l'id de la clé (connexion à un serveur sécurisé par ssl ou javascript directement sur les fichiers), autant de point qui à mon sens font partie de la sécurité logique et dont chaque admin devrait se préoccuper.

Nous n'avons pas encore de certification (processus très long et très coûteux).
L'accès aux serveursd'authentification se fait en http ou https...

Merci de votre feedback,

Luc

[smf-fr]

Cela ne pose aucun problème de sécurité stocker l'id. Cette information est publique et inutilisable sans la clé.

Hmmm, je dois être le seul informé que les émulateurs de dongle sont formidable  , bref.....
Personnellement je vois pas ce qui empêche de la crypter aussi pour plus de sécurité. A moins que l'on soit dans un fonctionnement de type PGP mais j'ai pas eu cette impression.

Ce MOD a déjà été revu par le team SMF qui n'a pas trouvé de problème de sécurité.

Mouaaaaaaaaaaaaaaaa, personne vous a informé qu'il n'y a aucune vérification, elle se limite à regarder la langue du mod. Préconisations en terme de formulaire et variables dans les scripts php.....

C'est pourtant pour l'instant le seul moyen efficace et convivial de lutter contre le phishing et le vol d'identité

Le phishing sur un forum ? vous êtes sérieux? Le moyen le plus efficace vient non pas de l'utilisateur mais principalement déjà des admins de forums:

• en commençant par ne pas référencer bêtement les profils de leur membre!
• en protégeant les informations (mails, identités,etc....) de leur membre!
• en installant pas n'importe quel mod provenant d'un site officiel ou non!
• en exigeant de la team officiel, une analyse technique sur le risque de chaque mod!
• en prenant au sérieux leur responsabilité d'admin, qui est de connaître techniquement l'outil que l'on met à disposition ou de s'assurer que la partie technique est correctement couverte.

maintenant indiquer des informations bancaires, ou adresse personnelle sur un forum, je l'ai encore jamais vu dans le profil d'un forum.
Votre clé serait pertinent sur une base de type LDAP, mais en entreprise on utilise en général un générateur de clé aléatoire sur 16 bits valable 1 minute/code seulement et synchroniser sur un serveur protégé, en plus d'une connexion entreprise cryptée.
Un id comme celui ci et non crypter, permet non seulement de suivre un internaute mais de le cibler encore mieux qu'une adresse mail, vous seriez surpris de voir comment certaines communautés fonctionnent.
Je vous conseil plutôt un hash dans la base de l'admin et une comparaison de ce hash sur votre serveur, ça sera beaucoup plus sécurisé, et vous pouvez faire tourner le hash en y collant le jour, ça évite de suivre le hash.

Nous n'avons pas encore de certification (processus très long et très coûteux).

coûteux, puisque le prix est exorbitant. Mais il est possible en attendant le Verisign de monter son propre certificat à moindre coût, certes c'est pas top mais ça permet de rassurer 

L'accès aux serveursd'authentification se fait en http ou https...

En http il n'y a rien de sécurisé, comme pour une transaction bancaire, cela devrait obligatoirement se faire en https ou ssl.

Voilà c'est juste mon point de vue sur la question

Cordialement

[swekey]

Hmmm, je dois être le seul informé que les émulateurs de dongle sont formidable..

Un émulateur vous donnera facilement un ID, mais aucun ne sera capable de générer un One Time Password...
Seule la validation de l'OTP peut permettre de se connecter à un site

Mouaaaaaaaaaaaaaaaa, personne vous a informé qu'il n'y a aucune vérification, elle se limite à regarder la langue du mod. Préconisations en terme de formulaire et variables dans les scripts php.....

J'attends toujours de savoir en quoi se mode pose un problème de sécurité...

En http il n'y a rien de sécurisé, comme pour une transaction bancaire, cela devrait obligatoirement se faire en https ou ssl.
Voilà c'est juste mon point de vue sur la question

Aucune information privée n'est envoyée, donc http fait l'affaire, mais pour les administrateurs paranoiaques https peux aussi être utilisé (avec certificat ssl)

Le phishing sur un forum Huh?? vous êtes sérieux?Huh?

Oui, car les utilisateurs utilisent souvent le meme mot de passe...
Avec le mot de passe d'un utilisateur de forum on peut souvent accéder à sa boite mail.


Cordialement,

Luc

[smf-fr]

Un émulateur vous donnera facilement un ID, mais aucun ne sera capable de générer un One Time Password...
Seule la validation de l'OTP peut permettre de se connecter à un site

Rien de plus facile, il me suffit de demander au membre de se connecter sur mon forum avec votre module, je récupère session et le reste, juste le temps de faire mes manips.

J'attends toujours de savoir en quoi se mode pose un problème de sécurité...

Aucune vérification de variable, sql injection dans chaque requête, répétition de code inutile, enfin bref y'a encore du boulot.

Oui, car les utilisateurs utilisent souvent le meme mot de passe...
Avec le mot de passe d'un utilisateur de forum on peut souvent accéder à sa boite mail.

Récupération d'information:
Alors si je veux faire du phising, première chose je vais m'inscrire sur le même forum que lui, et je consulte bêtement son profil, comme ici, avec de la chance j'aurais sa date de naissance et sa région, et si je fais une recherche sur google avec son pseudo ou ces références, je verrais sur quasiment tous les forums, le référencement de ces profils. Je vais choisir par exemple les forums de voyages, d'animaux ou de puériculture, j'ai plus de chance de trouver des novices.
Ensuite j'utilise les posts avec de la chance 95% des forums ne masquent pas l'email, j'aurais donc son email, sinon je prétexte lui donner une info super intéressante qui l'intéresse mais par email.
Conception de l'action de phising:
Je suis pas trop bête, je pompe l'interface d'un site comme le crédit mutuel/bnp ou la poste, juste la présentation de la page d'accueil, ou encore si je vois qu'il découvre internet je lui envois simplement un rappel par mail en lui demandant de vérifier ces infos bancaires.
Je fais ça sur un domaine proche, en rajoutant un s par exemple ou encore un .tw ou un truc dans le genre, et j'attends qu'il se connecte. J'aurais pris soin de router la page de connexion sur le site officiel pour que ça soit transparent.

Voilà je viens de faire du phising, avec la présence ou non de votre module et à aucun moment le membre n'a été protégé. Y'a d'autres techniques, je vous passe le faite d'implanter un détournement de login sur la page de formulaire d'un forum ou encore l'utilisation de troyen. Sachant que la cible n'est pas un passe de mail mais plutôt les coordonnées bancaire.

Sécurisation simple et gratuite
Par contre si les admins étaient moins préoccupé par leur référencement et leur gain de pub, ils mettraient un point d'honneur sur leur forum à ce que ceux ci ne servent pas à récolter ce genre d'informations.

Pour information avec le module Netcraft disponible là http://toolbar.netcraft.com/ gratuitement, l'utilisateur aurait vu tout de suite qu'il y avait un risque potentiel sur ma fausse page web.
Avec en plus un filtre anti-spam gratuit sous thunderdbird (lui aussi gratuit), il aurait vu que ce mail était frauduleux.
Et si en dernier recours il a été attentif au recommandation de son banquier, il a un mot de passe différent pour son compte et le reste des sites internet qu'il consulte.

Votre technique est intéressante pour renforcer l'identification, c'est moins couteux qu'un certificat verisign, mais à mon sens ça s'arrête là.

Cordialement