Authentifier les personnes et les services
Authentifier les personnes et les services
Section intitulée « Authentifier les personnes et les services »Relier cryptographie et authentification réelle: mots de passe, sessions, MFA, Kerberos, PAKE, OPAQUE, WebAuthn et passkeys.
Objectif du chapitre
Section intitulée « Objectif du chapitre »Relier cryptographie et authentification réelle: mots de passe, sessions, MFA, Kerberos, PAKE, OPAQUE, WebAuthn et passkeys.
Notions à couvrir
Section intitulée « Notions à couvrir »- Mot de passe, secret partagé, facteur matériel, biométrie locale et session
- MFA, TOTP, push, SMS, fatigue MFA, récupération de compte
- Kerberos, tickets, KDC et authenticité réseau
- PAKE, SRP, OPAQUE et résistance aux attaques hors ligne
- WebAuthn, passkeys, clés liées à une origine, attestation, synchronisation et récupération
- Découverte, enrôlement, politiques de fallback et endpoints passkey à suivre
- JWT, cookies, tokens opaques, expiration, rotation et révocation
Sous-sections
Section intitulée « Sous-sections »Authentifier un utilisateur [Débutant]
Section intitulée « Authentifier un utilisateur [Débutant] »- Preuve de possession
- Facteur
- Session
- Récupération
- Risque de support
Protocoles d’entreprise [Intermédiaire]
Section intitulée « Protocoles d’entreprise [Intermédiaire] »- Kerberos
- Tickets
- Horloge
- Realm
- Service principal
- Limites opérationnelles
Mot de passe sans révéler le mot de passe [Expert]
Section intitulée « Mot de passe sans révéler le mot de passe [Expert] »- PAKE
- SRP
- OPAQUE
- Attaque hors ligne
- Enregistrement
- Rotation
Passkeys et WebAuthn [Intermédiaire]
Section intitulée « Passkeys et WebAuthn [Intermédiaire] »- Credential public key
- Origin binding
- Authenticator
- Attestation
- Synchronisation
- Récupération
- Gestion multi-appareils
- Fallback contrôlé
Exemples et ateliers
Section intitulée « Exemples et ateliers »- Concevoir un login avec passkey et fallback
- Documenter un parcours de récupération sans casser la résistance au phishing
- Comparer JWT et token opaque
- Décrire un échange PAKE à haut niveau
- Lister les risques de récupération de compte
Pièges classiques
Section intitulée « Pièges classiques »- JWT sans expiration
- Secret JWT faible
- MFA contournable par support
- Confondre biométrie locale et secret serveur
- Ignorer le phishing dans les canaux de récupération
À ne pas confondre
Section intitulée « À ne pas confondre »- Authentification et autorisation
- MFA et preuve cryptographique
- WebAuthn et gestionnaire de mots de passe
- PAKE et KDF de mot de passe
Points à vérifier
Section intitulée « Points à vérifier »à vérifier: statut exact des recommandations WebAuthn/passkeys pour les navigateurs et plateformes visés.à vérifier: intégration concrète d’OPAQUE dans les stacks applicatives choisies, même si le protocole est normalisé côté IETF.