Sécurité de votre compte
Authentification
Les deux méthodes d'authentification pour accéder aux grappes sont par mot de passe et par clés SSH.
Par mot de passe
- Nous vous demandons d'employer des mots de passe uniques que vous n'utiliserez jamais par la suite.
- Votre mot de passe est confidentiel et critique; ne le dévoilez à personne et ne le partagez pas avec d'autres utilisateurs. Évitez également de donner toute information qui permettrait de deviner votre mot de passe.
- Autant que possible, ne consignez pas par écrit votre mot de passe. Si vous devez l'écrire ou le sauvegarder sur un support quelconque, assurez-vous que les mesures de sécurité appropriées sont en place pour empêcher les accès non autorisés (chiffrement, mots de passe robustes, etc.). N'écrivez ou n'enregistrez jamais un mot de passe qui vous permet d'accéder à un système d'information ou de transférer des éléments entre ces systèmes.
- Il est déconseillé d'utiliser la fonction de votre navigateur ou de votre système d'exploitation qui se souvient de votre mot de passe.
Réinitialiser votre mot de passe
Si vous croyez que la sécurité de votre mot de passe a été compromise, vous pouvez le réinitialiser dans la base de données CCDB par l'onglet Mon compte, option Modifier le mot de passe.
Par clés SSH
Une bonne manière de vous authentifier comme propriétaire de votre compte sans avoir chaque fois à entrer votre mot de passe est d'employer des clés SSH. Cependant, pour assurer la sécurité, il faut absolument utiliser une phrase de passe robuste.
Votre clé privée est comme un jeton de sécurité, même si elle est chiffrée avec un mot de passe. N'utilisez pas une clé privée sur un ordinateur que vous partagez avec d'autres utilisateurs. Sur une grappe, une clé privée qui n'est pas chiffrée représente un immense risque.
Pour les détails sur l'implémentation des clés SSH, consultez la page wiki Clés SSH.
Multifactor authentication
Multifactor authentication (MFA) allows you to protect your account with more than a password or SSH key. Once your account is configured to use this feature, you will need to enter your username and password or SSH key as usual, and then perform a second action (the second factor) to access most of our services. It is highly recommended to activate it on your account. Please see the Multifactor authentication page for more details.
Meilleures pratiques
Partage des données
Quand plusieurs utilisateurs doivent partager les mêmes données, la solution la plus simple semble de modifier les permissions du système de fichier pour permettre à tous de lire et écrire dans les mêmes fichiers. Il faut cependant respecter certains principes pour éviter de compromettre la sécurité; consultez la page wiki Partage des données.
Ordinateur à partir duquel vous vous connectez
L'accès par un tiers aux clés SSH (avec ou sans mot de passe) est souvent la cause des brèches de sécurité. Certaines mesures peuvent aider à les prévenir :
- connectez-vous à partir d'un ordinateur que vous savez sans risque;
- sous Windows, faites régulièrement des vérifications avec un analyseur de virus et de logiciels malveillants;
- peu importe votre système d'exploitation, effectuez régulièrement des mises à jour de sécurité pour tous vos logiciels;
- ne laissez jamais votre ordinateur sans surveillance.
- sur les clients qui utilisent OpenSSH (Linux, Mac et avec cette option sous Windows), vous pouvez configurer le comportement de SSH avec ~/.ssh/config. En particulier, vous pouvez définir le comportement du système et même de certaines fonctionnalités relatives à l'utilisateur comme la sélection d'une clé particulière devant être utilisée, la sélection automatique de fonctions avancées comme la redirection X/port et même ProxyJump.
Ordinateur auquel vous vous connectez
One important advantage of using ssh keys is that the remote system only needs your public key. This value is not sensitive, so there is no risk of disclosure. If someone gets your public key, all they can do is give you additional access.
- Avoid placing any private keys on remote machines, even encrypted ones. An unencrypted key is equivalent to a password, and may be stolen or exposed inadvertantly. An encrypted key is, by itself, not sensitive - except if you ever use it on that machine (at which point you are effectively trusting the machine.)
- If you use ssh-agent, avoid forwarding it to remote machines. ComputeCanada clusters use hostbased trust within the cluster, so you do not need to re-authenticate if you connect to an internal node.