03/05/2013

Les clés SSH et le double facteur ... (PCI DSS 8.3)


Le sujet des facteurs d'authentification est un sujet qui a toujours fait débat lorsque l'on parle de PCI DSS.

Les ayatollahs du PCI DSS vous dirons qu'il est obligatoire d'avoir des tokens One-Time-Password de type RSA Secur-ID (bien que RSA n'ait pas fait ses preuves en terme de sécurité récemment, mais bon, ce n'est pas le sujet).

C'est le thème de l'exigence PCI DSS 8.3 : Incorporate two-factor authentication for remote access

Est-ce que 2 mots de passe consécutifs peuvent constituer une double authentification ? La réponse est clairement non.

Et une clé SSH et un mot de passe ? La réponse est plus compliquée et va dépendre de l'implémentation.

Tout d'abord, revenons au texte où le standard PCI définit 3 types de facteurs :
  1. Something you know, such as a password or passphrase
  2. Something you have, such as a token device or smart card
  3. Something you are, such as a biometric 
Ensuite, le PCI indique 2 guidances très intéressantes ;-) :
  • Two-factor authentication requires that two of the three authentication methods.
  • A digital certificate is a valid option as a form of the authentication type “something you have” as long as it is unique. 
Il est donc possible d'utiliser un certificat SSH pour répondre à l'exigence.

Mais concrètement  il faut un mot de passe et un certificat. Cela n'est pas natif sous OpenSSH, car la passphrase du certificat SSH qui est demandé n'est pas un mot d'authentification à distance, mais uniquement la clé de chiffrement de votre clé privée.

Il faut donc modifier le fonctionnement du serveur SSH pour qu'il demande un login, le mot de passe et un certificat SSH.

Pour être valide, le QSA devra valider l'implémentation technique de cette solution, mais rappelons-le ici : le PCI autorise explicitement les clés SSH comme un facteur d'authentification.

Plusieurs options existent pour modifier la chaine d'authentification de SSH de façon propre et efficace.

Aucun commentaire:

Enregistrer un commentaire