|
Infineon Security Platform Solution |
Mesures de défense contre les attaques de type dictionnaires
 |
Remarques :
|
La solution Security Platform rejette les attaques de type dictionnaire en utilisant les mesures suivantes :
- S'il y a multiples essais d'authentification échoués, Security Platform est temporairement désactivée jusqu'au redémarrage prochain du système. Ainsi le propriétaire de Security Platform peut prendre des mesures supplémentaires contre les attaques avant de réactiver Security Platform.
- En plus un temps de déblocage est activé : Les essais supplémentaires d'authentification sont rejetés pour un certain intervalle. Chaque essai d'authentification échoué augmente le niveau de défense, en doublant le temps de déblocage.
- S'il n'y a plus d'essais d'authentification échoués pour un certain intervalle, le niveau de défense est réduit.
- Le propriétaire de Security Platform peut réinitialiser le niveau de défense.
Les illustrations suivantes décrivent ces mesures.
Le niveau de défense est augmenté suite aux essais d'authentification échoués répétés
Cette illustration présente comment les essais d'authentification échoués déterminent l'augmentation du niveau de défense et du temps de déblocage, lorsque Security Platform n'est pas temporairement désactivée.
|
||||||||||||
Dans cet exemple, le seuil de défense est le cinquième essai d'authentification. L'attaquant essaie de s'authentifier. Par suite, le niveau de défense est augmenté quand le temps de déblocage de l'état actuel est expiré.
Eviter l'augmentation du niveau de défense en désactivant temporairement Security Platform
Pour bloquer autres attaques dans une première phase et pour éviter des temps de déblocage longues, Security Platform est temporairement désactivée quand le seuil de défense est dépassé.
|
|||||||||||||||
Dans cet exemple Security Platform ne peut plus être attaquée, même après l'expiration du temps de déblocage. Security Platform sera activée une fois le système redémarré.
Diminution automatique du niveau de défense
Cette illustration présente comment le niveau de défense est diminué à nouveau après un certain intervalle, lorsqu'il n'y a plus d'essais d'authentification échoués.
|
||||||||||||||||||||
Dans cet exemple un essais d'authentification échoué détermine une augmentation du niveau de défense et un temps de déblocage(rouge). On suppose que le système est redémarré après un intervalle court (gris). Lorsque le temps de diminution automatique est expiré, le niveau de défense est réduit en mode automatique. Pour les niveaux bas de défense, le temps de diminution automatique est beaucoup plus élevé que le temps de déblocage.
|
Remarques :
|
Réinitialisation niveau défense
Cette illustration présente la réinitialisation du niveau de défense réalisée par le propriétaire de Security Platform.
|
||||||||||||||||||||
Comme dans l'illustration précédente, vous pouvez remarquez l'augmentation du niveau de défense, le temps de déblocage (rouge) et le système désactiver temporairement jusqu'au prochain redémarrage du système (gris). Ici on suppose que le propriétaire de Security Platform réinitialise le niveau de défense, car il ne veut plus attendre l'augmentation automatique di niveau de défense.
Paramètres typiques pour la défense contre les attaques de type dictionnaire
La table suivante présente quelques paramètres typiques pour la défense contre les attaques de type dictionnaire pour les Infineon Trusted Platform Module. Les valeurs présentées peuvent être différentes pour votre Trusted Platform Module.
|
Essais autorisés pour l'authentification de Clé (par ex. utilisés pour l'authentification de l'Utilisateur de Security Platform) |
5 | Après 5 essais échoués dans une période de 6 heures, des mesures de défense contre les attaques de type dictionnaire sont prises (voir la stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire). |
|
Essais permis pour authentification du propriétaire de Security Platform |
3 | Après 3 essais échoués dans une période de 6 heures, des mesures de défense contre les attaques de type dictionnaire sont prises (voir la stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire). |
|
Essais autorisés pour l'authentification de Données (par ex. utilisés par Windows BitLocker en combinaison avec PIN) |
10 | Après 10 tentatives manquées pendant 6 heures, des mesures de défense d'attaque par dictionnaire sont prises (voir stratégie Configuration du seuil pour les attaques de type dictionnaire et Configurer Paramètres de Défense d'Attaque par Dictionnaire). |
|
Temps de déblocage minimum |
~10 s | Le temps de déblocage initial après le dépassement du seuil est de 10 secondes. |
|
Temps de déblocage maximal |
~24 h | Le temps de déblocage maximal est de 24 heures. Cette limite est atteinte pour moins de 15 essais d'authentification échoués après le dépassement du seuil. |
|
Temps de diminution automatique du niveau de défense |
~6 h | Environ 6 heures après avoir atteint un certain niveau de défense, le niveau de défense est réduit en mode automatique par 1. Cette opération s'applique seulement s'il n'y a plus d'essais d'authentification échoués pendant les 6 heures. Un tel essai augmente le niveau de défense par 1. |
Ces paramètres assurent un niveau de sécurité élevé dans le cas d'une attaque réelle de type dictionnaire. D'un autre côté, la saisie accidentelle d'un mot de passe erroné est gestionné d'une manière amiable est flexible.
|
Le temps de déblocage et temps de diminution automatique du niveau de défense ne s'appliquent que pour les systèmes en fonction. |
©Infineon Technologies AG