formations/diiage/C3-2_Sécurité_SI/20180119_Authentification/qcm.md

52 lines
1.9 KiB
Markdown
Raw Normal View History

2018-01-17 22:58:53 +01:00
<style>
* {
font-size: 0.8em !important;
}
</style>
2018-01-19 11:50:12 +01:00
# Authentification: QCM
2018-01-17 22:58:53 +01:00
- **Nom**
- **Prénom**
- **Classe**
- **Date**
## Consigne
Pour chaque question, entourer **la ou les bonnes réponses**.
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
## Questions
### A. Quels sont les inconvénients liés à l'utilisation de modèle d'authentification HTTP `Basic Auth` pour une API REST ?
1. Il est nécessaire d'utiliser TLS pour en faire un mécanisme d'authentification sécurisé.
2. Il ne permet pas de mettre en place une politique de rotation des secrets efficaces.
3. Il ne permet pas une bonne "montée en charge" de l'infrastructure.
### B. Parmi ces propositions, lesquelles sont valides pour faciliter l'usage de "gestionnaire de mots de passe" dans les applications Web ?
1. Ne pas empêcher le "copier/coller" dans les champs identifiant/mot de passe d'un formulaire de connexion.
2. Ne pas limiter artificiellement la taille des mots des passe.
3. Ajouter l'attribut "allow-autogen" sur les champs &lt;input type="password" /&gt;
### C. Le modèle de signature des requêtes d'Amazon Web Services se base notamment sur:
1. Une fonction de hachage cryptographique appliquées sur une partie des attributs de la requête HTTP
2. Le standard JSON Web Token
3. Un identifiant universellement unique par requête
### D. Un "nonce" est typiquement utilisé pour protéger les points d'authentification des attaques du type:
1. Attaque par "homme du milieu"
2. Attaque par "force brute"
3. Attaque par rejeu
### E. L'utilisation de mécanismes de type "preuve de travail" pour protéger un point d'authentification à pour objectif de:
1. De miner de la crypto-monnaie pour financer le site
2. De forcer chaque utilisateur à fournir un certain temps CPU pour chaque requête afin d'éviter le "spam"
2018-01-19 11:50:12 +01:00
3. De vérifier que l'utilisateur n'est pas un "robot".