Article de reference

Protocole d'authentification

Un protocole d'authentification est un type de protocole de communication informatique ou de protocole cryptographique spécialement conçu pour le transfert de données d'authenti...

Un protocole d'authentification est un type de protocole de communication informatique ou de protocole cryptographique spécialement conçu pour le transfert de données d'authentification entre deux entités. Il permet à l'entité réceptrice d'authentifier l'entité de connexion (par exemple, un client se connectant à un serveur) ainsi que de s'authentifier auprès de l'entité de connexion (un serveur auprès d'un client) en déclarant le type d'informations nécessaires à l'authentification ainsi que la syntaxe. Il s'agit de la couche de protection la plus importante nécessaire à la communication sécurisée au sein des réseaux informatiques.

But

Avec l'augmentation du volume d'informations fiables accessibles sur le réseau, il est devenu nécessaire d'empêcher les personnes non autorisées d'accéder à ces données. Il est facile de voler l'identité de quelqu'un dans le monde informatique : des méthodes de vérification spéciales ont dû être inventées pour déterminer si la personne/l'ordinateur demandant les données est vraiment celui qu'il prétend être. La tâche du protocole d'authentification est de spécifier la série exacte d'étapes nécessaires à l'exécution de l'authentification. Il doit respecter les principes fondamentaux du protocole :

  1. Un protocole doit impliquer deux ou plusieurs parties et toutes les personnes impliquées dans le protocole doivent connaître le protocole à l'avance.
  2. Toutes les parties concernées doivent suivre le protocole.
  3. Un protocole doit être sans ambiguïté : chaque étape doit être définie avec précision.
  4. Un protocole doit être complet : il doit inclure une action spécifique pour chaque situation possible.

Une illustration de l’authentification par mot de passe utilisant un protocole d’authentification simple :

Alice (une entité souhaitant être vérifiée) et Bob (une entité vérifiant l'identité d'Alice) sont tous deux conscients du protocole qu'ils ont convenu d'utiliser. Bob a le mot de passe d'Alice stocké dans une base de données à des fins de comparaison.

  1. Alice envoie à Bob son mot de passe dans un paquet respectant les règles du protocole.
  2. Bob vérifie le mot de passe reçu par rapport à celui stocké dans sa base de données. Il envoie ensuite un paquet indiquant « Authentification réussie » ou « Échec de l'authentification » en fonction du résultat.

Il s'agit d'un exemple de protocole d'authentification très basique vulnérable à de nombreuses menaces telles que l'écoute clandestine , les attaques par relecture , les attaques de l'homme du milieu , les attaques par dictionnaire ou les attaques par force brute . La plupart des protocoles d'authentification sont plus complexes afin de résister à ces attaques.

Types

Protocoles d'authentification développés pour PPPProtocole point à point

Les protocoles sont principalement utilisés par les serveurs Point-to-Point Protocol (PPP) pour valider l'identité des clients distants avant de leur accorder l'accès aux données du serveur. La plupart d'entre eux utilisent un mot de passe comme pierre angulaire de l'authentification. Dans la plupart des cas, le mot de passe doit être partagé à l'avance entre les entités communicantes.

Schéma de liaison bidirectionnelle PAP

PAP - Protocole d'authentification par mot de passe

Le protocole d'authentification par mot de passe est l'un des plus anciens protocoles d'authentification. L'authentification est initialisée par l'envoi par le client d'un paquet contenant les informations d'identification (nom d'utilisateur et mot de passe) au début de la connexion, le client répétant la demande d'authentification jusqu'à ce qu'un accusé de réception soit reçu. Il est très peu sûr car les informations d'identification sont envoyées « en clair » et de manière répétée, ce qui le rend vulnérable même aux attaques les plus simples comme l'écoute clandestine et les attaques de type « man-in-the-middle » . Bien que largement pris en charge, il est spécifié que si une implémentation propose une méthode d'authentification plus forte, cette méthode doit être proposée avant PAP. L'authentification mixte (par exemple, le même client utilisant alternativement PAP et CHAP) n'est pas non plus attendue, car l'authentification CHAP serait compromise par l'envoi par PAP du mot de passe en texte clair.

CHAP -Protocole d'authentification Challenge-Handshake

Le processus d'authentification dans ce protocole est toujours lancé par le serveur/hôte et peut être exécuté à tout moment pendant la session, même de manière répétée. Le serveur envoie une chaîne aléatoire (généralement longue de 128 B). Le client utilise le mot de passe et la chaîne reçue comme entrée dans une fonction de hachage, puis envoie le résultat avec le nom d'utilisateur en texte brut. Le serveur utilise le nom d'utilisateur pour appliquer la même fonction et compare le hachage calculé et reçu. Une authentification est réussie lorsque les hachages calculés et reçus correspondent.

EAP - Protocole d'authentification extensible

EAP a été développé à l'origine pour PPP (Point-to-Point Protocol) mais est aujourd'hui largement utilisé dans les normes IEEE 802.3 , IEEE 802.11 (WiFi) ou IEEE 802.16 dans le cadre de la structure d'authentification IEEE 802.1x . La dernière version est normalisée dans la RFC 5247. L'avantage d'EAP est qu'il ne s'agit que d'une structure d'authentification générale pour l'authentification client-serveur - la manière spécifique d'authentification est définie dans ses nombreuses versions appelées méthodes EAP. Il existe plus de 40 méthodes EAP, les plus courantes sont :

Protocoles d'architecture AAA (Authentification, Autorisation, Comptabilité)

Protocoles complexes utilisés dans les réseaux plus vastes pour vérifier l'utilisateur (authentification), contrôler l'accès aux données du serveur (autorisation) et surveiller les ressources et les informations du réseau nécessaires à la facturation des services (comptabilité).

TACACS,XTACACSetTACACS+

Le plus ancien protocole AAA utilise l'authentification basée sur IP sans aucun cryptage (les noms d'utilisateur et les mots de passe étaient transportés sous forme de texte brut). La version ultérieure XTACACS (Extended TACACS) a ajouté l'autorisation et la comptabilité. Ces deux protocoles ont ensuite été remplacés par TACACS+. TACACS+ sépare les composants AAA afin qu'ils puissent être séparés et traités sur des serveurs distincts (il peut même utiliser un autre protocole pour, par exemple, l'autorisation). Il utilise le protocole TCP (Transmission Control Protocol) pour le transport et crypte l'ensemble du paquet. TACACS+ est la propriété de Cisco.

RAYON

Le service RADIUS ( Remote Authentication Dial-In User Service ) est un protocole AAA complet couramment utilisé par les FAI . Les informations d'identification sont principalement basées sur une combinaison nom d'utilisateur-mot de passe, et il utilise les protocoles NAS et UDP pour le transport.

DIAMÈTRE

Diameter (protocole) a évolué à partir de RADIUS et implique de nombreuses améliorations telles que l'utilisation d'un protocole de transport TCP ou SCTP plus fiable et une sécurité accrue grâce à TLS .

Autre

Schéma d'authentification Kerberos

Kerberos (protocole)

Kerberos est un système d'authentification réseau centralisé développé au MIT et disponible en tant qu'implémentation gratuite du MIT, mais également dans de nombreux produits commerciaux. Il s'agit de la méthode d'authentification par défaut dans Windows 2000 et versions ultérieures. Le processus d'authentification lui-même est beaucoup plus compliqué que dans les protocoles précédents : Kerberos utilise une cryptographie à clé symétrique , nécessite un tiers de confiance et peut utiliser une cryptographie à clé publique pendant certaines phases d'authentification si nécessaire.

Liste de divers autres protocoles d'authentification

Original text
Rate this translation
Your feedback will be used to help improve Google Translate