enregistrer une empreinte digitale dans son agence bancaire et la stocker sur une carte portable (calculatrice, zone mémoire protégée de la carte à puce ...) et faire un challenge d'authentification entre le dispositif de stockage et le doigt de l'utilisateur.
Seulement pour que ce soit valide en matière de sécurité il faut que la séquence de challenge/réponse ait lieu uniquement sur le dispositif lecteur.
Une séquence d'accès à l'info deviendrait donc :
- établissement de la liaison entre le PC et le site web en SSL
- demande d'authentification de la part du site web
- le PC fait suivre la demande d'authentification au petit machin qui lit à la fois la carte et l'empreinte digitale
- le petit machin lit l'empreinte, hash avec l'algo qui va bien et compare le résultat de ce hash avec la carte
- le petit machin dit au PC go ou nogo
- le PC dit au site web "vas-y mon gars, c'est bien lui"
Mais de toutes façons la sécurité est compromise dès l'instant ou les infos d'authentification circulent et traversent le PC et le réseau.
Ce qui m'amène à une petite considération à part : une grosse organisation responsable des transports en communs dans une région capitale d'un pays d'europe occidentale située pile entre la Belgique, l'Allemagne, l'Italie la Corse et l'Espagne exige dans les spécifications de ses machines à vendre des titres de transports que le lecteur de carte à puces dispose d'un clavier et d'un écran séparé et fasse tout seul ses calculs d'authentification; alors que dans ce même pays, que je ne nommerai pas, frontalier du Pays Basque et de la Bretagne, d'autres organisation responsable de transports en commun n'ont pas cette exigence et proposent un clavier virtuel pour la saisie du code secret.
Certains ont donc une vision déplorable de la sécurité informatique ! ;)
# Une autre solution...
Posté par Moule Atarte . En réponse au journal Comment les banques font croire à la sécurité. Évalué à 3.
Seulement pour que ce soit valide en matière de sécurité il faut que la séquence de challenge/réponse ait lieu uniquement sur le dispositif lecteur.
Une séquence d'accès à l'info deviendrait donc :
- établissement de la liaison entre le PC et le site web en SSL
- demande d'authentification de la part du site web
- le PC fait suivre la demande d'authentification au petit machin qui lit à la fois la carte et l'empreinte digitale
- le petit machin lit l'empreinte, hash avec l'algo qui va bien et compare le résultat de ce hash avec la carte
- le petit machin dit au PC go ou nogo
- le PC dit au site web "vas-y mon gars, c'est bien lui"
Mais de toutes façons la sécurité est compromise dès l'instant ou les infos d'authentification circulent et traversent le PC et le réseau.
Ce qui m'amène à une petite considération à part : une grosse organisation responsable des transports en communs dans une région capitale d'un pays d'europe occidentale située pile entre la Belgique, l'Allemagne, l'Italie la Corse et l'Espagne exige dans les spécifications de ses machines à vendre des titres de transports que le lecteur de carte à puces dispose d'un clavier et d'un écran séparé et fasse tout seul ses calculs d'authentification; alors que dans ce même pays, que je ne nommerai pas, frontalier du Pays Basque et de la Bretagne, d'autres organisation responsable de transports en commun n'ont pas cette exigence et proposent un clavier virtuel pour la saisie du code secret.
Certains ont donc une vision déplorable de la sécurité informatique ! ;)