Re: OTP

> Ça peut être une solution, utiliser nos mobiles surpuissants pour
> implémenter l'OATH.

Oui et non.

Oui car en effet c'est possible techniquement, comme d'ailleurs on peut le faire sur un PC, un PDA ou tout autre matériel avec suffisamment de puissance de calcul...

Non car tout le principe du token matériel repose sur la nécessité de posséder le bidule : le token doit être suffisamment sécurisé pour qu'on ne puisse pas récupérer la clef secrète de manière triviale (perturbations, démontage...).
Si tu peux installer le logiciel de génération de mot de passes dessus, tu peux très probablement installer un keylogger qui enregistrera les mots de passe, voire te choper un virus ou un trojan qui récupérera la clef secrète et l'enverra ailleurs (clef secrète compromise = n'importe qui peut prévoir les mots de passe à venir). Une solution logicielle sur un outil communiquant ne présente pas du tout le même niveau de sécurité qu'un token physique dédié, machine "autiste" sans possibilité de communication autre que le fait d'afficher les mots de passe générés.

Un PC / PDA / téléphone avec un soft qui tourne dessus s'apparente donc plus à du "quelque-chose que je connais" que "quelque-chose que je possède". Et ce n'est pas vraiment de l'authentification forte, quoi qu'en disent les vendeurs.

La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Au final, rien ne vaut le bon vieux token (ou la feuille de papier avec 50 mots de passe à usage unique).

[ Répondre ]