Articles : OpenToken : un projet de token d'authentification matérielle ouvert
Posté par Amaury (). Modéré le 21 avril 2008.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :
- Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
- Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.
Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.
Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...
![[en]](../images/en.png)
Liste de diffusion opentoken-devel (205 hits)-
[OATH] Time-based One-time Password Algorithm (202 hits)
-
[OATH] OATH Challenge-Response Algorithms (131 hits)
-
[OATH] Différentes specs publiées par OATH (154 hits)
> Lire la dépêche (30 commentaires, moyenne: 2,6).
Vous avez demandé le commentaire #924527.
Run by 
Cette page a été générée par Templeet en 0.0604s (dont 0.0055 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
OTP
J'avais regardé à une époque une solution d'OTP, et j'étais tombé sur une applet java http://fatsquirrel.org/software/vejotp/ que j'ai réussi à faire fonctionner sur mon mobile LG8210 à 20€. Ça peut être une solution, utiliser nos mobiles surpuissants pour implémenter l'OATH.
[ Répondre ]
[^]Re: OTP
> Ça peut être une solution, utiliser nos mobiles surpuissants pour
> implémenter l'OATH.
Oui et non.
Oui car en effet c'est possible techniquement, comme d'ailleurs on peut le faire sur un PC, un PDA ou tout autre matériel avec suffisamment de puissance de calcul...
Non car tout le principe du token matériel repose sur la nécessité de posséder le bidule : le token doit être suffisamment sécurisé pour qu'on ne puisse pas récupérer la clef secrète de manière triviale (perturbations, démontage...).
Si tu peux installer le logiciel de génération de mot de passes dessus, tu peux très probablement installer un keylogger qui enregistrera les mots de passe, voire te choper un virus ou un trojan qui récupérera la clef secrète et l'enverra ailleurs (clef secrète compromise = n'importe qui peut prévoir les mots de passe à venir). Une solution logicielle sur un outil communiquant ne présente pas du tout le même niveau de sécurité qu'un token physique dédié, machine "autiste" sans possibilité de communication autre que le fait d'afficher les mots de passe générés.
Un PC / PDA / téléphone avec un soft qui tourne dessus s'apparente donc plus à du "quelque-chose que je connais" que "quelque-chose que je possède". Et ce n'est pas vraiment de l'authentification forte, quoi qu'en disent les vendeurs.
La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Au final, rien ne vaut le bon vieux token (ou la feuille de papier avec 50 mots de passe à usage unique).
[ Répondre ]
[^]Re: OTP
La solution serait éventuellement d'avoir une carte matérielle dans le téléphone ou le PC, chargée d'effectuer les calculs, mais même là les possibiltés d'interception sont importantes.
Ca s'apelle la carte SIM, et normalement, une partie doit être protégé des agressions physiques (ie essayer de récupérer physiquement la valeur d'un registre).
Subete ga wakatta toki…watashi ga anta wo korosu.
[ Répondre ]
[^]Re: OTP
>sans possibilité de communication autre que le fait d'afficher les mots de passe générés
Ou les prononcer? (je pense aux aveugles qui seraient excluent des procédures / accès sécurisé de l'entreprise si une version avec casque audio n'est pas inventé.).
P.S. une idée pour les sourds et aveugles?
[ Répondre ]
[^]Re: OTP
le sourd et aveugle en général il communique pas vraiment autrement qu'en direct...ou, au mieux, en braille... braille qui serait d'ailleurs beaucoup plus pertinent qu'un casque audio amha
"L'informatique, c'est comme le sexe : c'est mieux quand c'est gratuit" [Linus]
[ Répondre ]
[^]Re: OTP
Pour le braille, je mettrais un bémol quant à sa pertinence.
Pour les aveugles de naissance, je suppose que c'est plus pratique (et n'est pas exclusif, l'audio est un plus: prix d'un PC + gutemberg project vs livres en braille. J'ai plusieurs fois vu des aveugles avec PC dans le TGV donc je pense qu'il y a un intérêt).
Mais on ne nait pas forcément aveugle, et l'apprentissage d'un nouvel alphabet/méthode de lecture à 80 ans n'est pas forcément ce qu'il y a de plus évident (ma grand mère avait essayé). D'ou bémol.
[ Répondre ]
[^]Re: OTP
je parlais du braille car la parole est souvent problématique certaines lettres ressemblent phonétiquement à d'autres ou, dans certaines langues, n'ont pas de nom du tout (je sais plus lesquelles ni en quelles langues mais je sais qu'il y en a... j'ai un trou là), problème de traduction, de prononciation d'une variante à l'autre etc... le braille permettrait de s'affranchir de tout cela ... d'où, pour moi, une meilleure pertinence...
"L'informatique, c'est comme le sexe : c'est mieux quand c'est gratuit" [Linus]
[ Répondre ]
[^]Re: OTP
>>>la parole est souvent problématique certaines lettres ressemblent phonétiquement à d'autres ou, dans certaines langues
Oui, le F et le S, par téléphone, c'est une catastrophe. J'ai travaillé dans un centre de support et vite pris l'habitude de dire F comme France, S comme Sierra...
En japonais, le R et le L sont proches.
Il y a un petit livre sur le japonais avec un joli dessin sur la couverture, 2 personnes se téléphonent
- avec un L comme dans Roma ?
- non, avec un R comme dans London
Les logiciels libres ne sont pas à la portée des non-spécialistes, dit Microsoft. Si même un gendarme ou un député est capable de se servir d'un PC sous Gnu/Linux...
[ Répondre ]
[^]Re: OTP
En japonais, le R et le L sont proches.
Ce n'est pas la peine d'aller chercher très loin, le basque a deux sons R :
- le R doux quand il est entre 2 voyelles (ex: hari = fil), c'est presque un L.
- le R dur dans les autres cas (ex: harri = pierre).
Un peu plus loin, il y a les antillais qui ne p'ononcent pas les è'. Un jour, j'ai demandé à un copain antillais qui avait ce type d'élocution de me prononcer "J'ai vu trois gros rats gris dans trois gros trous creux". Aussitôt il m'a répété la phrase aussi parfaitement que le ferait Audrey Pulvar au journal télévisé. Très étonné, je lui dis "Tu sais donc prononcer les R ?" et il m'a répondu "Oui je sais pa'ler en p'ononçant les è', mais ça me fatigue".
Il n'y donc pas une façon unique de présenter un mot de passe, l'écran LCD, la voix et la planchette braille sont forcément complémentaires.
[ Répondre ]
[^]Re: OTP
Il y a 2 ans environ j'ai écrit une implémentation de OATH sur mon téléphone portable ainsi qu'un module PAM utilisant une authentification OATH pour me connecter en SSH chez moi.
Cela fonctionnait pas trop mal sauf que la clé (le secret partagé) étaient stocké en clair dans mon téléphone. Une solution consiterait à le stocker dans la SIM mais je doute qu'on puisse y avoir facilement accès depuis les API disponibles au niveau du téléphone. Une autre possibilité serait de stocker une version chiffrée du secret puis de demander à l'utilisateur un mot de passe. Toutefois sur un clavier de téléphone portable c'est pas très ergonomique.
Hurd will be out in a year (or two, or next month, who knows)
-- Linus Benedict Torvalds, 1991
[ Répondre ]
[^]Re: OTP
Il n'y a pas toujours besoin d'avoir une implémentation super forte. Et c'est toujours utile d'avoir des implémentations de références.
De plus, certain téléphone ont des fonctionnalités proche de celle des cartes a puces.
[ Répondre ]