Authentification pas assez forte
L'objectif d'un pirate est d'arriver à avoir un accès non autorisé à une machine. L'authentification est donc un point extrêment important dans le processus de sécurisation.
Des politiques de mots de passe doivent être mise en place dans le développement des applications dont par exemple :
- Complexité des mots de passe
- Blocage après X tentatives
- Message d'erreur ne précisant pas les sources d'erreurs
- Notification des administrateurs en cas d'echec d'authentification
- Obligation de changer les mots de passe périodiquement
- Utilisation de protocoles d'échange surs (ex : HTTPS) et de système de Token standards
- Demande de réauthentification périodique
- Tests réguliers de méthode de brute force par exemple
Mot de passe envoyés sans chiffrement
Au moment de l'authentification le mot de passe ne doit pas être envoyé en clair entre le poste et le serveur.
Le développeur a plusieurs méthodes à se disposition comme par exemple :
- L'utilisation de HTTPS
- L'utilisation de Token
- Le "hachage" en MD5 ou SHAx du mot de passe
Continuer »