Articles : OpenToken : un projet de token d'authentification matérielle ouvert

Posté par Amaury (). Modéré le 21 avril 2008.

Double information tournant autour de l'authentification forte. Consultez la deuxième partie de la depêche pour en savoir plus.
Tout d'abord, le consortium OATH a publié les spécifications de deux algorithmes permettant de concevoir des tokens matériels :

Une première spécification publiée courant 2004 concerne les générateurs de mots de passe en mode asynchrone : à chaque appui sur un bouton du token, un nouveau mot de passe est généré ;
Une deuxième spécification, publiée il y a quelques jours à peine (d'où cette dépêche) traite d'un mode de génération de mots de passe à usage unique dépendant du temps, où chaque mot de passe possède une durée de vie de quelques secondes.

Ces deux documents permettent d'imaginer des tokens matériels d'authentification forte libres. Pas gratuits, ça non, mais ouverts, ce qui serait déjà un grand pas en avant.

Et justement, le projet OpenToken vise à concevoir des tokens ouverts, ainsi que les outils logiciels associés, en se basant sur la dernière spécification OATH afin de garantir un fonctionnement transparent. Pour l'instant le projet est en cours de lancement et les objectifs sont ambitieux, n'hésitez donc pas à vous abonner à la liste de diffusion opentoken-devel pour contribuer.

Si le concept vous intéresse, ces informations sont présentées plus en détails dans la suite de la dépêche...

Liste de diffusion opentoken-devel (218 hits)
[OATH] Time-based One-time Password Algorithm (211 hits)
[OATH] OATH Challenge-Response Algorithms (138 hits)
[OATH] Différentes specs publiées par OATH (161 hits)

> Lire la dépêche (30 commentaires, moyenne: 2,6).

Re: Comment nous aider

Posté par Earered () le 21/04/2008 à 19:34. (lien). Évalué à 3.

La sphère publique semble plutôt s'orienter vers les certificats (logiciel, carte à puce, clé usb).

Entre autre sur des aspects de chaîne de confiance (vérification de respects des règles de sécurité de l'émetteur de certificats, signature par une autorité de certification).

Mais aussi de signature de fichier, et de chiffrement/confidentialité des données (les aspects que l'auteur de la dépêche n'a pas voulu approfondir à raison pour ne pas alourdir son propos).

Les tokens ont d'autres avantages et inconvénient.

Personnellement, je vois l'aspect consultant nomade utilisant des terminaux chez le client qui doit s'assurer que même si le mot de passe est logger, au moins il ne pourra pas être réutiliser. Ou en cas de vol de portable, que les accès à l'intranet ne soit pas compromis (donc certificat logiciel mort, puce et usb ça réclame du matos particulier sur le portable matériel ou driver, et ne permet pas l'usage de tous les terminaux).

La défense ayant tendance à isoler son intranet (pas d'extranet), les personnes intéressés sont plutôt, enfin je pense, du secteur privé manipulant des données confidentiels, en réseau (gros), avec une pointe d'externalisation (j'ai des noms de 2 clients des safeword de Secure Computing Corporation mais je ne dénoncerais pas :p ).

Mais pour construire une entreprise la dessus (c'est p'tet pas le projet), trouver 3 clients, et leur proposer d'investir pour créer le service ça peut être une bonne idée. (pour la pépinière, je recommande Grenoble, c'est par là qu'on trouve les gens qui conçoivent les circuits et micro-processeur... quoi, comment ça on y est pas encore? allez, hop hop yaplukafaucon! ^_^).

[ Répondre ]

Vous ne pouvez plus rajouter de commentaires! (trop vieux)