Mesures de défense contre les attaques de type dictionnaires

Infineon Security Platform

Infineon Security Platform Solution

Mesures de défense contre les attaques de type dictionnaires

Remarques :
  • Ce sujet s'applique seulement aux Security Platforms avec un Trusted Platform Module 1.2. Les détails pour le mécanisme de défense contre les attaques de type dictionnaire Security Platform ne sont valides que pour les Security Platforms avec un Infineon Trusted Platform Module 1.2.
  • Ce sujet s'adresse principalement au propriétaire de Security Platform.

La solution Security Platform rejette les attaques de type dictionnaire en utilisant les mesures suivantes :

  • S'il y a multiples essais d'authentification échoués, Security Platform est temporairement désactivée jusqu'au redémarrage prochain du système. Ainsi le propriétaire de Security Platform peut prendre des mesures supplémentaires contre les attaques avant de réactiver Security Platform.
  • En plus un temps de déblocage est activé : Les essais supplémentaires d'authentification sont rejetés pour un certain intervalle. Chaque essai d'authentification échoué augmente le niveau de défense, en doublant le temps de déblocage.
  • S'il n'y a plus d'essais d'authentification échoués pour un certain intervalle, le niveau de défense est réduit.
  • Le propriétaire de Security Platform peut réinitialiser le niveau de défense.

Les illustrations suivantes décrivent ces mesures.

Le niveau de défense est augmenté suite aux essais d'authentification échoués répétés

Cette illustration présente comment les essais d'authentification échoués déterminent l'augmentation du niveau de défense et du temps de déblocage, lorsque Security Platform n'est pas temporairement désactivée.

défense
niveau
  temps déblocage
  temps 
               essais d'authentification

Dans cet exemple, le seuil de défense est le cinquième essai d'authentification. L'attaquant essaie de s'authentifier. Par suite, le niveau de défense est augmenté quand le temps de déblocage de l'état actuel est expiré.

Eviter l'augmentation du niveau de défense en désactivant temporairement Security Platform

Pour bloquer autres attaques dans une première phase et pour éviter des temps de déblocage longues, Security Platform est temporairement désactivée quand le seuil de défense est dépassé.

défense
niveau
   
  déblocage    temporairement désactivée
  temps 
               essais d'authentification

Dans cet exemple Security Platform ne peut plus être attaquée, même après l'expiration du temps de déblocage. Security Platform sera activée une fois le système redémarré.

Diminution automatique du niveau de défense

Cette illustration présente comment le niveau de défense est diminué à nouveau après un certain intervalle, lorsqu'il n'y a plus d'essais d'authentification échoués.

défense
niveau
temps diminution automatique
      temps
  essais d'authentification diminution automatique

Dans cet exemple un essais d'authentification échoué détermine une augmentation du niveau de défense et un temps de déblocage(rouge). On suppose que le système est redémarré après un intervalle court (gris). Lorsque le temps de diminution automatique est expiré, le niveau de défense est réduit en mode automatique. Pour les niveaux bas de défense, le temps de diminution automatique est beaucoup plus élevé que le temps de déblocage.

Remarques :
  • Le temps de diminution automatique ne dépende pas du temps de déblocage et du redémarrage du système.
  • La diminution automatique n'exige pas un redémarrage du système.
  • Pour les niveaux bas de défense, le temps de diminution automatique est beaucoup plus élevé que le temps de déblocage.

Réinitialisation niveau défense

Cette illustration présente la réinitialisation du niveau de défense réalisée par le propriétaire de Security Platform.

défense
niveau
 
      temps
essai d'authentification réinitialisation

Comme dans l'illustration précédente, vous pouvez remarquez l'augmentation du niveau de défense, le temps de déblocage (rouge) et le système désactiver temporairement jusqu'au prochain redémarrage du système (gris). Ici on suppose que le propriétaire de Security Platform réinitialise le niveau de défense, car il ne veut plus attendre l'augmentation automatique di niveau de défense.

Paramètres typiques pour la défense contre les attaques de type dictionnaire

La table suivante présente quelques paramètres typiques pour la défense contre les attaques de type dictionnaire pour les Infineon Trusted Platform Module. Les valeurs présentées peuvent être différentes pour votre Trusted Platform Module.

Essais autorisés pour l'authentification de Clé (par ex. utilisés pour l'authentification de l'Utilisateur de Security Platform)

5 Après 5 essais échoués dans une période de 6 heures, des mesures de défense contre les attaques de type dictionnaire sont prises (voir la stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire).

Essais permis pour authentification du propriétaire de Security Platform

3 Après 3 essais échoués dans une période de 6 heures, des mesures de défense contre les attaques de type dictionnaire sont prises (voir la stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire).

Essais autorisés pour l'authentification de Données (par ex. utilisés par Windows BitLocker en combinaison avec PIN)

10 Après 10 tentatives manquées pendant 6 heures, des mesures de défense d'attaque par dictionnaire sont prises (voir stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire).

Temps de déblocage minimum

~10 s Le temps de déblocage initial après le dépassement du seuil est de 10 secondes.

Temps de déblocage maximal

~24 h Le temps de déblocage maximal est de 24 heures. Cette limite est atteinte pour moins de 15 essais d'authentification échoués après le dépassement du seuil.

Temps de diminution automatique du niveau de défense

~6 h Environ 6 heures après avoir atteint un certain niveau de défense, le niveau de défense est réduit en mode automatique par 1.
Cette opération s'applique seulement s'il n'y a plus d'essais d'authentification échoués pendant les 6 heures. Un tel essai augmente le niveau de défense par 1.

Ces paramètres assurent un niveau de sécurité élevé dans le cas d'une attaque réelle de type dictionnaire. D'un autre côté, la saisie accidentelle d'un mot de passe erroné est gestionné d'une manière amiable est flexible.

Le temps de déblocage et temps de diminution automatique du niveau de défense ne s'appliquent que pour les systèmes en fonction.


©Infineon Technologies AG