52 lines
1.9 KiB
Markdown
52 lines
1.9 KiB
Markdown
<style>
|
|
* {
|
|
font-size: 0.8em !important;
|
|
}
|
|
</style>
|
|
|
|
# Authentification: QCM
|
|
|
|
- **Nom**
|
|
- **Prénom**
|
|
- **Classe**
|
|
- **Date**
|
|
|
|
## Consigne
|
|
|
|
Pour chaque question, entourer **la ou les bonnes réponses**.
|
|
|
|
**Attention**, certaines questions sont volontairement rédigées sous la forme plurielle. Cela n'implique pas forcément qu'il y a plusieurs bonnes réponses.
|
|
|
|
## Questions
|
|
|
|
### A. Quels sont les inconvénients liés à l'utilisation de modèle d'authentification HTTP `Basic Auth` pour une API REST ?
|
|
|
|
1. Il est nécessaire d'utiliser TLS pour en faire un mécanisme d'authentification sécurisé.
|
|
2. Il ne permet pas de mettre en place une politique de rotation des secrets efficaces.
|
|
3. Il ne permet pas une bonne "montée en charge" de l'infrastructure.
|
|
|
|
|
|
### B. Parmi ces propositions, lesquelles sont valides pour faciliter l'usage de "gestionnaire de mots de passe" dans les applications Web ?
|
|
|
|
1. Ne pas empêcher le "copier/coller" dans les champs identifiant/mot de passe d'un formulaire de connexion.
|
|
2. Ne pas limiter artificiellement la taille des mots des passe.
|
|
3. Ajouter l'attribut "allow-autogen" sur les champs <input type="password" />
|
|
|
|
### C. Le modèle de signature des requêtes d'Amazon Web Services se base notamment sur:
|
|
|
|
1. Une fonction de hachage cryptographique appliquées sur une partie des attributs de la requête HTTP
|
|
2. Le standard JSON Web Token
|
|
3. Un identifiant universellement unique par requête
|
|
|
|
### D. Un "nonce" est typiquement utilisé pour protéger les points d'authentification des attaques du type:
|
|
|
|
1. Attaque par "homme du milieu"
|
|
2. Attaque par "force brute"
|
|
3. Attaque par rejeu
|
|
|
|
### E. L'utilisation de mécanismes de type "preuve de travail" pour protéger un point d'authentification à pour objectif de:
|
|
|
|
1. De miner de la crypto-monnaie pour financer le site
|
|
2. De forcer chaque utilisateur à fournir un certain temps CPU pour chaque requête afin d'éviter le "spam"
|
|
3. De vérifier que l'utilisateur n'est pas un "robot".
|