La sécurité est un sujet majeur et l'inquiétude lorsque l'accès aux réseaux privés et des informations confidentielles sur Internet. Authentification ( généralement par nom d'utilisateur et mot de passe) fournit une façon pour les utilisateurs et les ordinateurs de s'identifier sur un serveur Web avant le serveur Web permettant d'accéder à des informations confidentielles . Cependant, même si un nom d'utilisateur et mot de passe offrent une certaine sécurité , les méthodes utilisées par les ordinateurs pour effectuer l'authentification peuvent ne pas être sécurisés . Familiarisez-vous avec les types les plus communs de l'authentification de l' Internet afin que vous puissiez discerner quand chaque type est approprié. HTTP Basic Authentication
HTTP (Hyper Text Transfer Protocol ) spécification décrit l'authentification de base comme un processus qui commence lorsque le serveur Web à laquelle un client Web (comme un navigateur Web ) relie réponses à une demande d' l'authentification . Le client Web reçoit un identifiant et un mot de passe à partir du navigateur Web ou de l'utilisateur de l'application Web , puis transmet le nom d'utilisateur et mot de passe pour le serveur Web et le serveur Web vérifie alors le nom d'utilisateur et mot de passe pour l'authentification. L'authentification de base encode le mot de passe en utilisant l'algorithme base64 , ce qui n'est pas sécurisé. En outre , seul le client Web est authentifié et non le serveur Web ( si le client Web n'a pas de vérification qu'il s'est connecté au serveur Web correct) .
HTTP Digest Authentication
HTTP Digest Authentication utilise le même nom d'utilisateur et un algorithme d'échange de mot de passe, l'authentification HTTP de base . Cependant, dans ce cas, lorsque les réponses du serveur Web demandant l'authentification , le serveur Web fournit également un « nonce », qui est une chaîne de caractères générées dans le but de chiffrer le mot de passe. Le client Web demande alors un nom d'utilisateur et mot de passe de l'utilisateur. Après que l'utilisateur entre des informations d'identification demandées , le client Web utilise le « nonce » et l'algorithme de hachage MD5 (Message Digest 5 ) pour crypter le mot de passe. L'identifiant et le mot de passe crypté sont ensuite envoyées au serveur Web pour l'authentification .
HTTPS authentification
HTTPS (Hyper Text Transfer Protocol over SSL ) fournit une très méthode sécurisée pour l'authentification de l'Internet basé sur le Web . HTTPS utilise un certificat de clé publique numérique fourni par un tiers CA ( Certificate Authority ) pour identifier et authentifier le client Web et le serveur Web (bien que dans la plupart des cas, seul le serveur est authentifié avec un certificat de clé publique et le client est authentifié avec un nom d'utilisateur et mot de passe ) . Lorsque l'authentification, le client Web envoie une requête au serveur Web, ce qui spécifie la version d'algorithmes SSL et le cryptage qu'il utilise. Le serveur Web répond avec la version du protocole SSL et il utilise le certificat de clé publique du serveur . Le client Web confirme avec le tiers CA (via une liste stockée sur le client Web ) que le certificat de serveur est valide , puis envoie un accusé de réception acceptant d'utiliser la clé publique du serveur Web pour le chiffrement. Le serveur Web reconnaît la réponse du client Web, et puis tout le trafic envoyé ou reçu est crypté. Le client Web peut alors s'authentifier en toute sécurité en utilisant l'authentification de base à travers la session cryptée . HTTPS fournit des services d'intégrité messages confidentialité, la non -répudiation et .
Two Factor Authentication
d'authentification à deux facteurs , aussi appelée « authentification forte », requiert deux formes d'identification à Afin d'authentifier . Généralement, les deux formes comprennent un identifiant et un mot de passe et également un dispositif "jeton" qui génère un second , one-time password . L'authentification à deux facteurs est plus sûre car elle repose sur quelque chose que vous connaissez et sur quelque chose que vous avez en vue d'authentifier . Donc, si vous connaissez le nom d'utilisateur et mot de passe mais vous n'avez pas un jeton pour générer le second mot de passe , vous ne pouvez pas s'authentifier auprès d'un serveur d'authentification à deux facteurs. Authentification à deux facteurs commence généralement par l'échange HTTPS décrit ci-dessus . Toutefois, lorsque l'authentification de l'utilisateur est requise, l'utilisateur fournit un nom d'utilisateur , un mot de passe et un mot de passe généré par le dispositif de jeton .