Discussion :

[jimmyneutron]

Bonjour à tous...

Mon projet : construire une page d'identification légère et sécurisé.

J'utilise un accès Https avec SSL certifié niveau 2
Php 4.4.9 OU Php 5.2.9 OU Pph 6.0.0 (Dev)
Je me suis inspiré de la méthode des accès aux comptes bancaires en ligne du style Bnp.net
Je souhaite rendre l'application 100% compatible IE7 et FF3.

L'idée c'est de générer une image en forme de grille 4 x 4 et de disposer les numéro de 1 à 9 de façon aléatoire.
Pour l'utiliser comme un pavé numérique pour remplir le champs mot de passe, fixé lui en lecture seule.

Reste à faire une comparaison des champs via des données stockées dans une base MySql.

Si j'ai bien compris l'avantage majeur de cette méthode : éviter les attaques en force brute et de rajouter des images types captchas.
J'ai commencé à lire pas mal de post en ce qui concerne la protection des sessions donc je vais rajouter pas mal de choses à ce sujet je pense.
Ex: brider le nombre d'essais avec identification par IP entre autre, ...

DONC POUR RESUMER : QUE PENSEZ-VOUS DE CETTE METHODE D'IDENTIFICATION ? VOYEZ-VOUS UNE FAILLE POTENTIELLEMENT IMPORTANTE ?
CI-DESSOUS LES EXTRAITS DU DEBUT DE MON PROJET

Formulaire page d'identification

1. textfield nom d'utilisateur
2. textfield mot de passe (lecture seule)
3. image grille 4 x 4 (cf. ci-dessous code image.php)
4. script pour écrire le code dans le textfield mot de passe

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
 
<script>
<!--
function bloc ( lettre ) {
if ( document.formulaire.motdepasse.value.length < 8 ) document.formulaire.motdepasse.value = document.formulaire.motdepasse.value + lettre;
}
-->
</script>
 
<form id="formulaire" name="formulaire" method="post" action="verif.php">
<input type="text" name="login" id="login" />
<input type="password" name="motdepasse" id="motdepasse" readonly="readonly" />
<img src="image.php" usemap="#map" border="0" />
<map name="map" id="map">
<area shape="rect" coords="0,0,30,30" href="#" onclick="javascript : bloc ('A')" />
<area shape="rect" coords="0,30,30,60" href="#" onclick="javascript : bloc ('B')" />
<area shape="rect" coords="0,60,30,90" href="#" onclick="javascript : bloc ('C')" />
<area shape="rect" coords="0,90,30,120" href="#" onclick="javascript : bloc ('D')" />
<area shape="rect" coords="30,0,60,30" href="#" onclick="javascript : bloc ('E')" />
<area shape="rect" coords="30,30,60,60" href="#" onclick="javascript : bloc ('F')" />
<area shape="rect" coords="30,60,60,90" href="#" onclick="javascript : bloc ('G')" />
<area shape="rect" coords="30,90,60,120" href="#" onclick="javascript : bloc ('H')" />
<area shape="rect" coords="60,0,90,30" href="#" onclick="javascript : bloc ('I')" />
<area shape="rect" coords="60,30,90,60" href="#" onclick="javascript : bloc ('J')" />
<area shape="rect" coords="60,60,90,90" href="#" onclick="javascript : bloc ('K')" />
<area shape="rect" coords="60,90,90,120" href="#" onclick="javascript : bloc ('L')" />
<area shape="rect" coords="90,0,120,30" href="#" onclick="javascript : bloc ('M')" />
<area shape="rect" coords="90,30,120,60" href="#" onclick="javascript : bloc ('N')" />
<area shape="rect" coords="90,60,120,90" href="#" onclick="javascript : bloc ('O')" />
<area shape="rect" coords="90,90,120,120" href="#" onclick="javascript : bloc ('P')" />
</map>
<input type="reset" name="bouton1" id="bouton1" value="Corriger" />
<input type="submit" name="bouton2" id="bouton2" value="Envoyer" />
</form>

Fichier image.php
1. ouverture session
2. création image et de la grille 4 x 4
3. disposition aléatoire des numéros de 1 à 9
4. stockage ordre des numéros dans la session

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
 
<?php
session_start();
header ("Content-type: image/png");
$image = imagecreate(120,120);
$noir = imagecolorallocate($image, 0, 0, 0);
$font = "arial.ttf";
$tableau = array (1,2,3,4,5,6,7,8,9,'','','','','','','');
shuffle($tableau);
$_SESSION["tableau"] = $tableau;
imagettftext($image, 16, 0, 9, 22, $noir, $font, $tableau[0]);
imagettftext($image, 16, 0, 9, 52, $noir, $font, $tableau[1]);
imagettftext($image, 16, 0, 9, 82, $noir, $font, $tableau[2]);
imagettftext($image, 16, 0, 9, 112, $noir, $font, $tableau[3]);
imagettftext($image, 16, 0, 39, 22, $noir, $font, $tableau[4]);
imagettftext($image, 16, 0, 39, 52, $noir, $font, $tableau[5]);
imagettftext($image, 16, 0, 39, 82, $noir, $font, $tableau[6]);
imagettftext($image, 16, 0, 39, 112, $noir, $font, $tableau[7]);
imagettftext($image, 16, 0, 69, 22, $noir, $font, $tableau[8]);
imagettftext($image, 16, 0, 69, 52, $noir, $font, $tableau[9]);
imagettftext($image, 16, 0, 69, 82, $noir, $font, $tableau[10]);
imagettftext($image, 16, 0, 69, 112, $noir, $font, $tableau[11]);
imagettftext($image, 16, 0, 99, 22, $noir, $font, $tableau[12]);
imagettftext($image, 16, 0, 99, 52, $noir, $font, $tableau[13]);
imagettftext($image, 16, 0, 99, 82, $noir, $font, $tableau[14]);
imagettftext($image, 16, 0, 99, 112, $noir, $font, $tableau[15]);
imageline ($image, 0, 30, 120, 30, $noir);
imageline ($image, 0, 60, 120, 60, $noir);
imageline ($image, 0, 90, 120, 90, $noir);
imageline ($image, 30, 0, 30, 120, $noir);
imageline ($image, 60, 0, 60, 120, $noir);
imageline ($image, 90, 0, 90, 120, $noir);
imagepng($image);
imagedestroy($image);
?>

Fichier verif.php
1. récupération des POST du formulaire
2. conversion de la matrice du mot de passe en chiffre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
<?php
session_start();
$tableau = $_SESSION["tableau"];
$login = $_POST["login"];
$motdepasse = $_POST["motdepasse"];
for ($i=0; $i<strlen($motdepasse); $i++){
	echo $tableau[convert($motdepasse[$i])];
}
function convert ( $lettre ) {
	$tab = array("A" => "0","B" => "1","C" => "2","D" => "3","E" => "4","F" => "5","G" => "6","H" => "7","I" => "8","J" => "9","K" => "10","L" => "11","M" => "12","N" => "13","O" => "14","P" => "15",);
	$lettre = strtr("$lettre", $tab);
	return $lettre;
}
?>

[jnore]

Disons que l'avantage de cette saisie est qu'elle évite toute interception clavier.
Certains virus ou troyens interceptent les appuis sur les touches donc peuvent mémoriser le mot de passe à l'insu de l'user.

Dans tous les cas, les chiffres sont envoyés dans un input et les données envoyées par un POST.

[grunk]

Comme dis précédemment le but de ces méthode n'est absolument pas de limiter le brute force mais simplement de rendre la tache difficile voir impossible au keylogger (saise clavier) et au troyen qui viendraient enregistrer la position des clic (c'est pour ca que la position des chiffres change). Le brute force se ferait sur la page de POST sans passer par le formulaire.

Dans ton code , je vois pas bien l'intérêt de générer une image alors qu'un simple tableau avec un contenu positionné aléatoirement suffirait . C'est c'est pour une histoire de sécurité , pas la peine d'aller plus loin , c'est inutile , n'importe quel robot un peu évolué sait faire de la receonnaisance de caractère.

[jimmyneutron]

Dans ton code , je vois pas bien l'intérêt de générer une image

Le premier exemple (celui de la BNP) il s'agissait d'une image. Je suis à l'aise avec cet outils en PHP, je n'ai pas cherché d'autres solutions. En effet, celui du Crédit Agricole est un tableau. Finalement chacun sa route, merci de m'avoir montré un nouvel itinéraire.

n'importe quel robot un peu évolué sait faire de la receonnaisance de caractère

J'imagine, sauf qu'il ne s'agit pas d'un captcha, donc si le robot arrivait, ce qu'il ne manquerait pas de faire, à lire les 9 chiffres, il aurait quand même quelques 43 millions de possibilités (43^9) puisque je vais jusque 8 chiffres dans mon input.

De plus ce n'est pas le mot de passe qui transit via le input mais les coordonnées encodées de ce dernier. L'ordre de décryptage créer par l'image.php étant transmit via la session.

Que pensez-vous de l'utilisation d'une grille de 7 * 7 pour inclure les 26 lettres de l'alphabet + les chiffres 0 à 9 + 13 cases vides ? Je me pose cette question car les gens ont plus souvents recours à des passwords alphanumériques. Dans ce cas, l'application devrait être insensible à la casse pour éviter d'avoir à rajouter 26 lettres.

Le brute force se ferait sur la page de POST sans passer par le formulaire.

Donc pour bloquer une attaque en brute-force il ne suffit que de blacklister l'IP pendant x minutes, après un échec de x essais, pour rendre inutile l'attaque ?

[leloupc]

Bonsoir,
je relance ce sujet car je suis intéressé.
J'ai donc recopié ce code et crée les pages correspondantes, j'ai un message d'erreur :
[06-Jan-2012 18:33:42] PHP Warning:

imagettftext() [<a href='function.imagettftext'>function.imagettftext</a>]: Could not find/open font in /home/ctp4532/public_html/auth/image.php on line 11

j'avoue que je ne comprend pas tres bien...merci de votre aide