Authentification sécurisée
Résolu/Fermé
A voir également:
- Authentification sécurisée
- Double authentification google - Guide
- Application d'authentification facebook - Guide
- Authentification transcash - Forum Consommation & Internet
- Authentification coco par sms - Forum Google Chrome
- J'ai été banni de Coco et on me demande de payer ✓ - Forum Vos droits sur internet
2 réponses
nEm3sis
Messages postés
710
Date d'inscription
lundi 20 août 2007
Statut
Membre
Dernière intervention
9 avril 2012
113
3 avril 2012 à 22:49
3 avril 2012 à 22:49
j'ai quelques idée pour toi mais bon je doute que ce soit utile car si le pirate peut intercepter tout ce que tu envoie au serveur il pourra se faire passer pour toi quoi qu'il arrive, et vu que ton hébergeur ne supporte pas le ssl j'en déduis que tu n'auras donc pas les moyens de mettre en place des solutions qui coûterais bien plus cher que le ssl
1) tu peux au chargement de la page mette un clé dans celle ci (aléatoire bien sur)
avec cette clé tu cryptes le mot de passe en javascript
puis tu envois ce passe au serveur
le serveur a bien sur noté que la clé est associé à toi (avec les sessions) et donc peut décrypter le passe puis le hash pour le comparer à celui stocké dans la base de donnée
2) après la connexion tu demande un mot de passe (qui est envoyé par mail au moment de le tentative de connexion) s'il se connecte d'un pc inconnu (comme l'authentification en 2 temps de google sauf que pour des raisons de budget tu ne le fais que par mail)
1) tu peux au chargement de la page mette un clé dans celle ci (aléatoire bien sur)
avec cette clé tu cryptes le mot de passe en javascript
puis tu envois ce passe au serveur
le serveur a bien sur noté que la clé est associé à toi (avec les sessions) et donc peut décrypter le passe puis le hash pour le comparer à celui stocké dans la base de donnée
2) après la connexion tu demande un mot de passe (qui est envoyé par mail au moment de le tentative de connexion) s'il se connecte d'un pc inconnu (comme l'authentification en 2 temps de google sauf que pour des raisons de budget tu ne le fais que par mail)
Merci pour tes proposition, je doit dire que je n'avais pas pensé à la seconde, je vais me pencher la dessus.
En ce qui concerne la première, j'y avait penser, mais si le pirate peux intercepter la signature d'un mot de passe provenant du client, il peut également intercepter une clé transmise par le serveur.
Mais si il s'agit d'une clé publique, il ne peut rien en faire !
Malheureusement, qui dis clé publique dis RSA, ou autre chose du genre... pas une mince affaire coté client avec javascript...
Tu as d'autres idées en tête ? sinon, tanpis, je me tape de RSA :(...
En ce qui concerne la première, j'y avait penser, mais si le pirate peux intercepter la signature d'un mot de passe provenant du client, il peut également intercepter une clé transmise par le serveur.
Mais si il s'agit d'une clé publique, il ne peut rien en faire !
Malheureusement, qui dis clé publique dis RSA, ou autre chose du genre... pas une mince affaire coté client avec javascript...
Tu as d'autres idées en tête ? sinon, tanpis, je me tape de RSA :(...
nEm3sis
Messages postés
710
Date d'inscription
lundi 20 août 2007
Statut
Membre
Dernière intervention
9 avril 2012
113
3 avril 2012 à 23:36
3 avril 2012 à 23:36
je ne pense pas qu'une sécurité si poussée soit adaptée à ce que tu veux faire par contre
nEm3sis
Messages postés
710
Date d'inscription
lundi 20 août 2007
Statut
Membre
Dernière intervention
9 avril 2012
113
4 avril 2012 à 00:25
4 avril 2012 à 00:25
alors bon courage et fait attention à ne pas diminuer l'expérience utilisateur en ajoutant des sécurités trop contraignantes :)