Bonjour,
En fait, les banques trouvent actuellement le système par SMS
insuffisant et sont obligées de chercher des solutions à
authentification plus forte. La solution de remplacement devrait être
disponible dans les quelques mois/années à venir : les process des
banques sont toujours super longs (dans un soucis de qualité,
certainement ^^).
Toujours est il que le SMS n'est pas assez sécurisé :
* Il peut être lu par n'importe qui
* Il ne requiert pas de code PIN pour être recu
* Il n'a pas une délivraison garantie, et instantanée (que celui qui
n'a pas raté un problème parce que son SMS est arrivé avec 15 min (ou
plusieurs heures dans les moins bon cas) de retard lève la main =))
* Il est transmissible (renvoi du SMS, épelé sur un appel vocal, etc)
En soi, le sms garantit que *quelqu'un* détient le téléphone et non la
personne très précise qu'on cherche à authentifier (incarnée par le
couple téléphone/Homme).
Florian MAURY
2010/6/24 Giles R DeMourot giles.r.demou...@free.fr:
Bonjour,
Cela fait penser au système d'authentification employé par certaines banques
(la mienne) en http comme en ftp pour valider les virements (https) ou
télécharger des documents (ftp), avec code pin généré à chaque demande
d'accès et envoyé par sms par le serveur de la banque, code qui doit être
réentré pour accéder à la section virement de son compte sur le serveur
https, ou ftp pour les documents. Le système est aussi utilisé en https pour
valider les paiements carte bancaire d'un montant élevé, voire d'un montant
pas particulièrement élevé pour certaines banques intermédiaires.
GRM
-Original Message-
From: owner-fr...@frnog.org [mailto:owner-fr...@frnog.org] On Behalf Of
Florian MAURY
Sent: Thursday, June 24, 2010 12:13 PM
To: Liste FRnoG
Subject: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Re: [FRnOG] Comment
vous protégez vous ?
Bonjour,
Pour ce qui est des OTP, il n'y a pas eu de discussion publique : je l'ai
contacté directement en privé pour éviter des gestes trop commerciaux
directement sur la liste, mais puisque tu le demandes, je vais me faire un
plaisir de parler d'un produit développé par mon précédent employeur et qui
répond en parti au problème, puisqu'elle a déjà été utilisée pour sécuriser
ce genre d'accès ; Il s'agit d'une solution d'authentification forte par
téléphonie mobile, qui permet au travers d'un navigateur de générer de
manière automatique un appel vocal avec le téléphone du client, puis de
jouer un son sur l'ordinateur qui est un OTP sonore, chiffré et unique. Ce
son entendu par le téléphone constitue une étape d'authentification, puisque
effectuée par un autre média qu'Internet, non reproductible, et non
transportable (une retransmission par un second téléphone ou autre
dispositif avec compression altérera le message et le rendra
inauthentifiable). L'authentification peut être renforcée par la demande
pendant l'appel vocal de l'entrée d'un code PIN. Si le client voulant
s'authentifier est susceptible de ne pas avoir de matériel sonore
(enceintes, casque, etc...), il est possible d'effectuer l'authentification
par l'entrée d'un code de transaction : il est à noter cependant que l'on
perd dès lors l'OTP.
Je précise, quitte à présenter le produit en détail qu'il est accessible en
SaaS ou en mode appliance, rackable en datacenter, et que le produit est
commandable à partir de n'importe quel langage disposant d'une librairie
d'appel SOAP. Je précise également que cette solution est compatible avec
tous les téléphones, tous les opérateurs, dans tous les pays.
Je suis là demain, pour en parler, si vous le souhaitez.
Je vous laisse l'URL du site, afin de pouvoir tester la solution et pouvoir
discuter du produit en connaissance de cause demain.
http://www.certificall.net
Ce type de solution s'intercale donc très bien dans l'étape
d'authentification pour accès à l'espace privé du client. Il est dès lors
possible de savoir que le client est bien celui qu'il prétend être, et
ouvrir son IP sur le firewall pour une session de courte/moyenne durée. Le
client peut donc partir en vacances à l'autre bout du monde et toujours
pouvoir se connecter d'urgence (ne me remerciez pas de vous gacher vos
vacances ;) )
A demain,
Florian MAURY
2010/6/24 Mehdi Badreddine mehdi.badredd...@gmail.com:
à ce propos, quid des OTP ? des retours d'expériences ?
Mehdi
Le 24 juin 2010 10:35, Jérémie Pogeant jeremie.poge...@gmail.com a
écrit :
[snip]
Citez moi un serveur SFTP qui est capable de :
- faire des soft quota
- trouver ses uid/gid/login/pass/clef publique depuis une db ou un
annuaire ldap
- qui soit évidement opensource et portable ailleurs que sur du
linux...
[/snip]
proFTPd avec mod_sftp et mod_sql (pour la base des users).
Il est compatible avec la gestion des quotas. Par contre je ne sais
pas pour le stockage de la clé publique dans la db.
--
Jérémie Pogeant
---
Liste de diffusion du FRnOG