Salle de presse

NW_20010328_en_ZDNetAsia, 3-28-01 "Tokens_ Un niveau supplémentaire d'accès sécurisé"

Communiqués de presse
mars 28, 2001

L'identification et l'authentification sont deux mots magiques quand il s'agit de sécurité. Laisser entrer un utilisateur autorisé, tout en gardant les personnes non autorisées à l'écart, semble plus facile qu'il ne l'est. Si je devais vous rencontrer dans la rue, je serais en mesure de vous voir, faire des affaires avec vous, et si nous avions fait des affaires avant, très probablement je vous reconnaîtrais - par le visage, la voix, ou une sorte de maniérisme physique ou le langage corporel.

L'e-business d'aujourd'hui est transigé sur des supports câblés et sans fil, où les visages se brouillent en octets, et le plus souvent, l'identification est un mot de passe entré dans un champ de texte.

L'une des premières étapes, et les plus importantes que l'on rencontre à l'aide d'un système sécurisé à distance, est le processus d'identification et d'authentification: Qui êtes-vous, et pouvez-vous le prouver?

Identification / authentification fait deux choses (et il vaut mieux les faire bien): Il permet au bon utilisateur dans; et il garde tout le monde à l'écart. Ou du moins c'est l'idée. Faire l'un ou l'autre des deux est facile - soit laisser tout le monde dans, ou garder tout le monde à l'extérieur. Faire les deux bien est plus difficile.

Traditionnellement, l'identification se résume à l'une des trois choses: quelque chose que vous savez, quelque chose que vous êtes, ou quelque chose que vous avez. Technologiquement parlant, ceux-ci se traduisent par :

Mots de passe Biométrie
(biométrie) Jetons

Les mots de passe sont couramment connus et utilisés dans la plupart des problèmes quotidiens. La biométrie fait référence à l'utilisation des biodonnées d'une personne pour s'authentifier. Les empreintes digitales, les balayages de rétine, et la reconnaissance d'empreinte vocale sont quelques-unes des méthodes les plus communes employées comme contrôles dans l'identité.

Les mots de passe et la biométrie présentent des lacunes qui deviennent rapidement évidentes. Avoir un mot de passe signifie avoir à s'en souvenir, et généralement ils sont compromis parce qu'ils sont difficiles à mémoriser et, par conséquent, écrit. La biométrie devient plus coûteuse à mesure qu'elle devient plus précise, bien qu'elle devienne rapidement plus populaire.

Les jetons d'accès relèvent de la troisième méthode d'authentification et s'authentifiont en fonction de ce qui est en votre possession. Les jetons peuvent être utilisés pour fournir un code de retour pour accéder à un système qui émet un code de défi. Les jetons en eux-mêmes ne sont pas infaillibles, mais fournissent une couche supplémentaire de sécurité. Un jeton de sécurité tombant entre les mains de quelqu'un d'autre fonctionnerait toujours comme il a été programmé pour. Le meilleur emploi de l'authentification serait d'utiliser une combinaison de deux ou plusieurs des trois contrôles.

Un exemple serait le jeton de sécurité Digipass de VASCO. La société s'est récemment associée à OCBC Bank à Singapour pour travailler ses solutions d'authentification et de signature numérique dans le système de transactions en ligne existant de la banque.

Le Digipass ressemble à une petite calculatrice de poche qui calcule les mots de passe dynamiques, également appelés mots de passe ponctuels (OTP). Lors de l'entrée d'un numéro d'identification personnel (NIP) pour le Digipass, le jeton peut calculer un OTP pour une utilisation sur le système distant auquel il est consulté.

Les calculs sont basés sur l'algorithme de la norme de chiffrement des données (DES), qui applique une clé de 56 bits choisie au hasard pour chaque bloc de données de 64 bits. Cela signifie que les utilisateurs doivent non seulement connaître leurs détails de compte et leur numéro de CODE PIN, mais aussi être en possession du Digipass, puisque les systèmes d'expéditeur et de récepteur doivent connaître la clé de chiffrement afin d'authentifier.

En utilisant le digipass, il est également possible de calculer les signatures numériques, également appelées signatures électroniques, pour authentifier les transactions électroniques et garantir l'intégrité du message en s'assurant qu'il n'a pas été altéré. Ce type de sécurité peut sembler excessif pour certains, mais c'est vraiment la combinaison de quelques mesures mises en œuvre dans un système qui permet aux utilisateurs de transporter un dispositif léger permettant une authentification et une identification sécurisées.

Les calculs cryptographiques sont gérés par l'appareil, laissant l'utilisateur avec un minimum d'agitation et offrant une sécurité adéquate pour les transactions électroniques de grande envergure. On paie le petit prix de transporter autour d'un appareil de la taille d'une calculatrice de poche, afin d'être en mesure d'effectuer des transactions électroniques sécurisées.

Même si l'unité Digipass tombe entre les mains de quelqu'un d'autre, un NIP est toujours nécessaire pour y accéder et l'activer. Si un utilisateur devait laisser le mot de passe d'authentification écrit, ou laissé dans le cache d'un terminal après une transaction, il ne serait d'aucune utilité pour quelqu'un d'autre, car il n'est valide qu'une seule fois.

Du point de vue de l'entreprise, le Digipass met en œuvre la sécurité à ce qui a toujours été le maillon le plus faible - le client. Le client veut vraiment juste être en mesure de faire des affaires en toute sécurité, et ne se soucie vraiment pas de la cryptographie, ou tout autre système back-end.

Un jeton de sécurité portable comme le Digipass ajoute une autre couche de sécurité qui est non seulement évolutive pour l'entreprise ou la banque, mais pratique pour leur client.

VASCO a récemment lancé un nouveau modèle (Digipass 800) à la famille Digipass, permettant l'utilisation de cartes à puce en conjonction avec le jeton, pour fournir encore plus de fonctionnalités avec les transactions e-banking ou sécurisées e-commerce.