[Security] – Protocoles et systèmes d’authentifications, partie 3.2 – Protocoles d’authentification – Basic Authentication

[Security] – Protocoles et systèmes d’authentifications, partie 1 – Introduction aux systèmes d’authentifications – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/04/security-protocoles-et-syst-232-mes-d-authentifications-partie-1-introduction-aux-syst-232-mes-d-authentifications.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 2 – Comprendre comment Windows stocke et gère votre identité au sein du réseau d’entreprise – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/07/security-protocoles-et-syst-232-mes-d-authentifications-partie-2-comprendre-comment-windows-stocke-et-g-232-re-votre-identit-233-au-sein-du-r-233-seau-d-entreprise.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 3.1 – Protocoles d’authentifications – Local Authentication – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/09/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-1-protocoles-d-authentification-local-authentication.aspx

[Security] – Protocoles et systèmes d’authentifications, partie 3.3.1 – Protocoles d’authentification – Introduction aux Challenge-Response Protocols – http://danstoncloud.com/blogs/jordanlaurent/archive/2013/12/23/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-3-1-protocoles-d-authentifications-challenge-response-protocols-digest-authentication.aspx

[Security]
– Protocoles et systèmes d’authentifications, partie 3.3.2 – Protocoles
d’authentification – Digest Authentication –
http://danstoncloud.com/blogs/jordanlaurent/archive/2014/01/10/security-protocoles-et-syst-232-mes-d-authentifications-partie-3-3-2-protocoles-d-authentifications-digest-authentication.aspx

 

Suite des protocoles d’authentifications! A quoi peut bien servir le protocole Basic Authentication? Suivez le file…et bonne lecture 🙂

La méthode d’authentification basique est une méthode standard de l’industrie largement utilisé pour la collecte de nom d’utilisateur et de mot de passe. Lorsque vous utilisez l’authentification basique, le navigateur affiche une boîte de dialogue dans laquelle les utilisateurs doivent entrer un compte Windows – qui comporte également un nom de domaine, par exemple, LABENV\jordan.laurent – et son mot de passe.

 

L’authentification basique est donc la forme la plus simple de toutes les formes d’authentifications! L’inconvénient est que celle-ci transmet simplement les informations brutes de connexions à travers le réseau…En d’autres termes, le nom d’utilisateur et son mot de passe sont envoyés à travers le réseau en texte clair – le mot de passe en clair, sera, cependant, codé en Base64 avant d’être transmis sur le réseau.

 

  • Le codage Base64 encrypte t’il votre mot de passe?…

NON! Le codage Base64 n’encrypte en aucun cas votre mot de passe! Si un mot de passe encodé en Base64 est interceptée par un analyseur de réseau, les utilisateurs non autorisées pourront facilement le décoder et réutiliser celui-ci. C’est pourquoi l’authentification basique n’est pas recommandée.

 

  • Quels protocoles de connexions utilisent ce protocole d’authentification?

L’authentification basique est assez répandue dans les « anciens » protocoles de connexions réseaux. Telnet, FTP, POP, IMAP…et même HTTP l’utilise.

 

  • Comment sécuriser une authentification basique?

Si la connexion entre l’utilisateur et le serveur prenant en charge l’authentifictation basique a été sécurisé grâce à une connexion SSL (Secure Sockets Layer) ou encore une ligne de transmission dédiée, alors votre authentification type basique sera sécurisée. Préférez donc l’utilisation des protocoles de connexions ci-dessous si vous activez le protocole d’authentification Basic Authentication,

 – TELNETSTErminaL NETwork over TLS/SSLport 992

 – FTPSFile Transfer Protocol over TLS/SSLport 989 (data) & 990 (control)

 – POP3SPost Office Protocol v3 over TLS/SSLport 995

 – IMAP4SInternet Message Access Protocol v4 over TLS/SSLport 993

 – HTTPSHyperText Transfer Protocol over TLS/SSLport 443

 

  • Cas spécifique : la mise en cache des identifiants lors d’une connexion à un serveur web Microsoft IIS (Internet Information Services)

Lorsque vous activez l’authentification basique, le jeton d’authentification de l’utisateur (user token) est mis en cache dans le cache de jeton (token cache). Par défaut, celui-ci restera dans ce cache pendant 15 minutes. Si vous vous connectez en utilisant l’authentification basique avec un compte qui a un niveau élevé d’autorisations (ex : administrateur), un attaquant pourrait utiliser ce compte pour accéder aux ressources de votre ordinateur…

Il existe donc plusieurs méthodes pour contourner ce problème de sécurité,

 * Ne pas autoriser les comptes qui ont un niveau élevé d’autorisations à se connecter à l’un de vos système en utilisant l’authentification basique.

 * Reconfigurer la valeur de l’entrée de registre « UserTokenTTL » à moins de 15 minutes.

 * Désactiver la mise en cache du jeton de l’utilisateur en définissant la valeur de l’entrée de registre « UserTokenTTL » à 0.

 

Beaucoup de services Microsoft implémentés en entreprise utilisent le serveur web IIS pour le rendu utilisateur ou administrateur,

 – Microsoft Exchange

 * Lors de l’accès au webmail à travers l’interface OWA (Outlook Web App) – répertoire virtuel OWA.

 * Lors de l’accès à la console d’administration EAC (Exchange Admin Center – depuis Exchange 2013 seulement) ou au « panneau de configuration utilisateur » ECP (Exchange Control Panel) – répertoire virtuel ECP.

 

 Microsoft Lync

 Lors de l’accès à la console d’administration LCP (Lync Control Panel) – répertoire virtuel CSCP

 

 – Microsoft SharePoint

 * Tous les sites SharePoint créés au sein de votre entreprise fonctionnent au niveau utilisateur et administrateur à travers le service IIS.


Sources :

GLOBAL REGISTRY ENTRIES FOR IIS – http://technet.microsoft.com/en-us/library/cc782380(v=ws.10).aspx

HTTP AUTHENTICATION RFC 2617 – http://www.ietf.org/rfc/rfc2617.txt

Non classé

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *