--- title: ARS C3 tags: C&C, tristan.martin author: Tristan Martin --- # Cybersecu & cyberdef C3 ## Contrôle d’accès logique (suite) Trois types (facteurs) d'authentification: - Ce que je connais (password) - Ce que je possède (carte d'accès) - Ce que je suis (biométrie) On peut combiner ces facteurs => **authentification forte** **L'authentification forte combine forcément plusieurs facteurs: un seul mot de passe fort n'est pas de l'authentification forte** **OTP:** one time password, mot de passe à usage unique - Synchrone: calcule en fonction du temps (ou d'un autre élément synchronisé entre le serveur et client), les 2 calculent en parallèle - Asynchrone: calcule en fonction d'un élément de donnée envoyé par le service (et d'une clé secrète) ###### Toujours faire du multi factor #### Rainbow table password en clair dans BDD + autre en crypte on crypte puis on check lequel ca match => trouve crypte du password donc lequel est le bon en clair #### Tools Liste d'outils OTP: #FIXME ### Authentification #### Auth Centralisee #### diff Annuaire / BDD pour authentification ### MITRE ATT&CK ### Privacy by Design / Default **Kerberos/PAM => creuser le sujet**