IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] Sécurité totale pour un espace membre [Débat]


Sujet :

Langage PHP

  1. #61
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Salut!

    Nous avons progressé depuis, nous allons proposer une méthode plus sécurisée. Nous sommes en train de développer une 2ème version du projet qui devrait commencer à tenir la route. Une fois celle-ci testée et au point, nous déciderons probablement de la distribuer... En attendant, vous pouvez avoir quelques détails dans ce topic:
    http://www.developpez.net/forums/showthread.php?t=14438

    Un grand merci à tous ceux qui ont participé et continue à participer à ce projet!

    Cordialement
    De retour parmis vous après 10 ans!!

  2. #62
    En attente de confirmation mail
    Inscrit en
    Août 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Août 2004
    Messages : 9
    Points : 11
    Points
    11
    Par défaut
    Citation Envoyé par Swoög
    Pour ce qui est de remplir les blocs, je ne pense pas que ce soit le plus dur (même si, je le répète, mes connaissances en C//C++ sont limitées) et pour la taille des blocs... je pensais à une taille proche de celle de la clée... je sais pas pourquoi... mais ça me semble naturel... ensuite... faut voir les avantages et inconvénients...
    Oulah malheureux! Surtout pas! Faire des blocs de la taille de la clé est la seule "faille" de RSA (c'est pas une faille car c'est clairement précisé dans l'algo). En effet ca rend possible les attaques par analyse statistique, puisque ton codage revient à simple code de substitution (a=e, b=r...) car deux blocs identiques seraient cryptés avec le même résultat. C'est pour ca que ta clé doit etre plus grande que les blocs. Quant au choix de la taille des clés, attention de rester dans la légalité. Je sais plus quelle valeur maximale est autorisée enFrance mais il y a une longueur de clé à ne pas dépasser.
    Autrement je vais voir de mon côté si je peux trouver une implémentation de RSA ou bien d'un autre algo de crypto à clé publique comme Merkle-Hellman (ca serait plus simple à concevoir mais j'ai cru entendre que cet algo avait été cassé...), le chiffre de Rabin... ou alors si vous vous sentez, on développe notre propre algo à clé publique lol
    D'ailleurs j'aurai une ptite question pour Bob qu'à l'air d'être calé en crypto : tous les systèmes à clé publiques sont basés sur une fonction à "sens unique avec trappe" (dsl je connais que le mot anglais "trapdoor one-way function") ou bien ca peut fonctionner différemment? J'me suis toujours posé cette question...
    sinon à propos de PGP : je pense pas que ca corresponde à ce qu'on veut faire. en fait PGP c'est :
    - on choisit une clé générée pseudo aléatoirement (à partir de la température du processeur, de la souris,...)
    - on crypte le message avec cette clé et avec un algo de crypto à clés symétriques (la meme pour crypter et décrypter)
    - on crypte ensuite seulement cette clé avec un algo de crypto à clé pulique/clés assymétriques (RSA par exemple) en utilisant la clé publique du destinataire
    - pour décrypter le destinataire décrypte la clé symétrique cryptée avec sa clé privée puis avec la clé symétrique ainsi décryptée, il décrypte le message

    Conclusion : l'intérêt de PGP c'est surtout pour des données assez longues du genre un email... car en fait ca permet de ne crypter qu'une clé de quelques centaines de bits avec un algo comme RSA au lieu de crypter tout le message. C'est donc surtout une question de rapidité. Si on a qu'un champ password à crypter ca serait même pénalisant d'utiliser PGP question rapidité puisque le pass sera plus petit que la clé symétrique qu'on générerait et on perd donc l'intérêt de PGP.

    edit : oulah! en me relisant j'me rends compte à quel point c'est aps clair ce que je dis! Désolé

  3. #63
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Salut et merci pour ces conseils Faaalllllling! (3A + 6 L, c'est bien ça? )

    Si tu avais lu les derniers posts, tu aurais vu que nous avons décider d'utiliser une autre méthode plus sécurisée pour l'envoi des mails; Il sagit de ne pas fournir le mdp dans le mail, mais juste un numéro d'activation, le tout sans hyperlien... Le membre s'inscrit, obtiens un mdp, et reçoit un mail avec un n°. Il se connecte à nouveau sur le site, s'identifie, et fournit le n° d'activation qu'il a reçu. Ainsi, nous verifions la validité de l'adresse mail, cela évite qu'un pirate puisse obtenir le mdp en clair (avec SSL).

    En ce qui concerne la perte de mdp (qui est une fonction importante à ne pas oublier), nous avons décider de demander au membre de choisir une question secrète dans une liste et d'y répondre. En cas de demande de perte de mdp, le membre devra répondre à la même question, etc... Cela lui permet d'obtenir un nouveau mdp (ou le même, selon le choix de l'admin). Nous lui envoyons ensuite un mail avec un n° d'activation comme pour l'inscription...

    Nous essayons de conserver toutes les options de sécurité afin que l'admin de l'espace membre puisse choisir le niveau de sécurité et la méthode qu'il lui convient (c'est pas évident). Le cryptage RSA ne nous servira uniquement à stocker le mdp, l'id de la question secrète, la réponse, etc... L'admin aura le choix entre le mode d'encryptage ou le hashage des informations.

    Nous metterons en place ce système dans la version 3 je pense, car nous avons déjà pas mal de modifs dans la V2 et je crois qu'il est plus sage de progresser doucement pour mieux s'appercevoir des éventuelles failles/ erreurs/bugs que nous pourrions avoir dans ce programme.

    Cordialement
    De retour parmis vous après 10 ans!!

  4. #64
    En attente de confirmation mail
    Inscrit en
    Août 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Août 2004
    Messages : 9
    Points : 11
    Points
    11
    Par défaut
    Citation Envoyé par Sub0
    Salut et merci pour ces conseils Faaalllllling! (3A + 6 L, c'est bien ça? )
    J'sais meme pas

    Citation Envoyé par Sub0
    Si tu avais lu les derniers posts, tu aurais vu que nous avons décider d'utiliser une autre méthode plus sécurisée pour l'envoi des mails; Il sagit de ne pas fournir le mdp dans le mail, mais juste un numéro d'activation, le tout sans hyperlien... Le membre s'inscrit, obtiens un mdp, et reçoit un mail avec un n°. Il se connecte à nouveau sur le site, s'identifie, et fournit le n° d'activation qu'il a reçu. Ainsi, nous verifions la validité de l'adresse mail, cela évite qu'un pirate puisse obtenir le mdp en clair (avec SSL).
    Dans ce cas là c'est parfait! Ca revient à ce que je proposais sauf que c'est le mdp qui sert de C1.

    Citation Envoyé par Sub0
    En ce qui concerne la perte de mdp (qui est une fonction importante à ne pas oublier), nous avons décider de demander au membre de choisir une question secrète dans une liste et d'y répondre. En cas de demande de perte de mdp, le membre devra répondre à la même question, etc... Cela lui permet d'obtenir un nouveau mdp (ou le même, selon le choix de l'admin). Nous lui envoyons ensuite un mail avec un n° d'activation comme pour l'inscription..
    Par contre le principe de la question secrète je suis contre!
    1. Ca revient à faire un second mot de pass (qui ne sert que pour retrouver le mot de passe principal)
    2. Ca ne fait que déplacer le problème : en cas de perte de ce second mdp (la réponse à la question secrète) il faudra implémenter un système de récupération de pass avec un renvoi sur la boite email
    3. Je trouve meme ca encore moins sécurisé que d'envoyer le mdp en clair sur le mail!! Pourquoi? Parce que le SE (social engineering) est beaucoup plus dangereux! La réponse à une question secrète (les plus traditionnelles : Comment s'appelle mon chien? Nom de jeunne fille de ma mère...) peut être trouvée très facilement pas un hacker motivé (par SE ou meme par attaque avec dico puisque la plupart du temps les réponses sont des mots). Beaucoup plus facilement que d'accéder au mail avec le mdp en clair.

    Le plus sécurisé est, je pense, de donner le nouveau pass sur la page web puis de redemander une activation comme à l'inscription : mdp + code d'activation donné par mail.
    On peut éventuellement rajouter une question secrète avant la demande de nouveau mdp pour faire un premier tri, ca peut enlever les hackers les moins motivés mais bon, ca peut aussi poser problème à l'utilisateur : perso je mets toujours une 20aine de caractères au hasard quand je dois choisir ma réponse à une question secrète, donc évidemment quand j'en ai besoin...

    Citation Envoyé par Sub0
    Nous essayons de conserver toutes les options de sécurité afin que l'admin de l'espace membre puisse choisir le niveau de sécurité et la méthode qu'il lui convient (c'est pas évident). Le cryptage RSA ne nous servira uniquement à stocker le mdp, l'id de la question secrète, la réponse, etc... L'admin aura le choix entre le mode d'encryptage ou le hashage des informations.
    Parfait!! Par contre vous avez trouvé/fait une implémentaion de l'algo RSA et du générateur de clé? Je vais voir ce que je peux faire. L'algo en lui même est extrêmement simple (juste des opérations mathématiques) mais toute la difficulté consiste à trouver 2 nombres premiers très grands. Je vais essayer de me documenter sur le sujet.

    Autrement j'viens de penser à un truc : avec RSA on pourrait faire comme un système de certificats qui permettrait de s'assurrer de l'identité d'un mec, en suivant le processus inverse de l'encryptage normal en RSA. Je m'explique : au lieu de coder le message avec la clé publique du destinataire on peut coder un message (la date, sa clé publique...) avec sa propre clé privée. Le destinataire décrypte avec la clé publique de l'expéditeur et si il retrouve la date, la clé publique de l'expéditeur... il peut etre sur que c'est bien l'expéditeur qui a envoyé le message! Enfin bon ca risque d'être dur de mettre ca en place côté client donc on oublie lol!

  5. #65
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Je te rappel notre algo actuel en ce qui concerne le niveau de sécurité maximal (en SSL bien entendu).

    • Nous enregistrons des infos sur l'utilisateur, comme son IP et pouvons créer une blacklist

    • Le membre s'inscrit, fournit les éléments de son profil
    • Il choisit dans une liste une question secrète (n° de permis, dates, etc... Liste à définir.)
    • Le prog lui affiche un mot de passe aléatoire (syllabes & nombres à 2 chiffres)
    • Il reçoit un mail contenant un n° d'activation
    • Il a 2 heures pour activer son compte, si possible avec la même session sinon il devra s'identifier
    • Il possède un nombre limité d'essai sinon blocage temporaire du compte et envoi d'une alerte à l'admin

    • En cas de perte de mot de passe, il répond à la question qu'il a choisit
    • Il possède un nombre limité d'essai, sinon blocage temporaire du compte et envoi d'une alerte à l'admin
    • Il reçoit un mail contenant un n° d'activation (l'ancien mdp reste tj valide)
    • Il a 2 heures pour activer son compte avec la même session sinon il devra recommencer la demande
    • Il possède un nombre limité d'essai sinon blocage temporaire du compte et envoi d'une alerte à l'admin
    • Le prog lui fournit un nouveau mdp aléatoire
    • Il possède un nombre limité de demande (prise en compte seulement si membre vérifié)

    Je ne pense pas avoir fait d'erreur...
    En ce qui concerne la liste des questions secrètes, elles seront bien choisies!
    De toutes façons, je ne vois pas d'autres méthodes plus appropriées.

    Important: En ce qui concerne les propositions d'algorithme sur le projet, merci de poster dans ce topic.
    Le topic dans le forum Projets de développement en commun est plus réservé au développement.

    Cordialement
    De retour parmis vous après 10 ans!!

  6. #66
    En attente de confirmation mail
    Inscrit en
    Août 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Août 2004
    Messages : 9
    Points : 11
    Points
    11
    Par défaut
    Je viens de voir une nouvelle option dans PHP5, ca peut être intéressant pour renforcer la sécurité des sessions :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    ; Select a hash function
    ; 0: MD5   (128 bits)
    ; 1: SHA-1 (160 bits)
    session.hash_function = 1
    Par défaut c'est à 0 (MD5) mais on peut mettre à 1 (dans php.ini) pour hasher les SID avec Sha1. C'est plutot cool, non?

    http://www.php.net/manual/fr/ref.ses....hash-function

  7. #67
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Oui, c'est pas mal! C'est j0k3r_n0ir je crois qui avait aussi fait la remarque à ce sujet... Nous n'allons pas utiliser PHP5 pour le moment, mais l'utilisation de sha1 est tout de même possible.

    En ce qui concerne la question secrète pour la récupération d'un mdp, j'avoue que tu n'as pas vraiment tort dans la mesure où on demande au membre de mémoriser un pseudo-mot de passe pour qu'il puisse obtenir un accès... Mais imaginons le cas où un pirate essaye de répondre à la place d'un membre, sachant que nous n'accepterons pas des réponses courtes de moins de 8 caractères (par exemple), il y aura donc plus de combinaisons possibles grâce au choix de la question dans la liste, et à la longueur non définie des réponses... Difficile d'élaborer un dictionnaire à ce niveau... Il faudra par contre, bien choisir nos questions de manière à ce que la réponse soit bien particulière et pas du tout commune! Dans hotmail par exemple, on peut trouver "Quel est votre animal préféré?", la plupart des gens répondront "le chien, le chat, le cheval"... Un pirate a des chances de trouver la réponse durant les 3 essais. Et même si il échoue et que le compte est bloqué pendant 15 minutes, il aura l'occasion de reessayer... L'idéal serait que le membre réponde à une question très particulière et personnelle. Si vous avez des idées merci de nous en faire profiter.

    Cordialement
    De retour parmis vous après 10 ans!!

  8. #68
    Membre à l'essai
    Inscrit en
    Février 2003
    Messages
    13
    Détails du profil
    Informations forums :
    Inscription : Février 2003
    Messages : 13
    Points : 17
    Points
    17
    Par défaut
    Bonjour

    Sujet intéressant.
    J'ignore si mes propos vont être utile pour ce projet mais bon.

    Ma banque utilise un système supplémentaire de protection pour accèder aux comptes via internet.
    Elle envoie par la poste une carte contenant un tableau de chriffres.
    Ce tableau possèdent 10 colones (A -> J) & 8 lignes soit 80 codes de 4 chriffres dessus.
    Pour accèder à mon compte, je dois rentrer mon login puis mon mot de passe et enfin un des codes demandés aléatoirement (par exemple A5).

    La chose intéressante de ce système (à mon avis), c'est que ça rajoute un petit niveau de sécurité (peut etre illusoire).
    La banque genere X différente carte par période (pour être sur que tous les clients ne possèdent pas la même) et les renouvelles annuellement.

    A vous de voir si c'est adaptable (surtout pour les entreprises commerciales, frais de timbre oblige).


    Idée pour le projet, envoyer une image dans le mel (ça le fait de le mettre en français ;-), sauf erreur c'est comme ça) qui contient le tableau de clé d'accès.
    Bien sur un pirate peut avoir accès à ces clefs quand elles sont utilisée (snifeur) mais il connaitra ... 1 seul clé du tableau !
    (le serveur demandant tjrs une clé differente le tps afin de presque tous les utiliser)

    My two cents

  9. #69
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Salut!

    L'idée d'envoyer une liste de codes complémentaires par la poste a été discuté dans le topic (je ne sais pas, peut-être que je l'ai délesté ce matin, j'ai pratiquement enlèvé la moitié des messages pour alléger)... Bref, ce n'est pas une mauvaise idée, sauf si le pirate est un membre et qu'il possède aussi la liste. Envoyer une image par "e-mail", ce n'est pas sécurisé: C'est justement l'envoi de mail qui pose problème, car un courrier électronique (en Français) peut-être considéré comme l'équivalent d'une carte postale! Tous le monde peut lire le contenu...

    Heureusement, il existe des solutions pour crypter le contenu d'un courrier avec PGP par exemple (payant), ou GPGnu (gratuit, mais assez difficile à utiliser à ce que j'ai compris). Pour toutes ces raisons, nous pensons que la meilleure solution est celle de la question secrète.

    Cordialement
    De retour parmis vous après 10 ans!!

  10. #70
    En attente de confirmation mail
    Inscrit en
    Août 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Août 2004
    Messages : 9
    Points : 11
    Points
    11
    Par défaut
    Sub0 >> J'te donne que mon avis, après c'est à toi de voir. Je vois pas trop pourquoi on emploie deux procédé différent. Autant faire comme pour l'activation quant au renvoi du mdp : on donne un nouveau mdp juste après que le membre ait rempli le formulaire de demande de nouveau pass (en ayant vérifié login+email). Il obtient donc aussitot le nouveau mot de passe qui n'est cependant pas encore activé. Il recoit ensuite un mail avec le code d'activation. Pour activer, il faut pass+code d'activation.

    Avantages et inconvénients des deux systèmes :
    A. Question secrète
    1. Pour moi ca revient à décaler le problème : c'est comme un deuxième pass : possibilité de le perdre (notamment si le membre met pas une vraie réponse --> courant)
    2. Possiblité de le trouver par dico (une attaque par dico d'un mot de 8 lettres est bcp bcp plus rapide qu'une attaque par brute force pur qui est presque impossible pr 8 caractères)
    Le point 2. peut être évité avec des systèmes de temporisations comme c'est prévu, mais on arrive quand même au point 3.
    3. Possibilité d'attaque par Social Engineering. Pour des appli comme Hotmail qui se veulent plus populaires et simples d'utilisation que sécurisées, la question secrète ca va mais pour un site un minimum sécurisé on peut pas mettre en oeuvre de telles procédés

    B. Mail d'activation
    1. Possibilité d'intercepter le mail

    Pourquoi privilégier la deuxième solution :

    Si on met en relation B.1 et A.3 : il est plus dur d'intercepter un mail que de trouver le nom du caniche de Mme Bertrand
    Même si B.1 et A.3 se compensent il reste toujours A.1 qui oblige de toute facon à coupler A avec un système comme B.

  11. #71
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Effectivement, ton explication a le mérite d'être claire.
    Mais il ya un problème. Imaginons que le pirate puisse obtenir l'accès aux mails d'un utilisateur, alors il pourra obtenir son compte membre en demandant un nouveau mdp. Tandis qu'avec une question secrète, c'est moins facile! C'est pour cette raison que j'insiste surtout... Hacker une boîte aux lettres d'accord, mais il ne faut pas que ça compromette la sécurité de l'espace membre! Qu'en pensez-vous?
    De retour parmis vous après 10 ans!!

  12. #72
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    Pas si le client qui a perdu son mail doit validé la réactivation par son mot de passe (fournis via HTTPS, à l'écran) un nouveau ou l'ancien, au choix de l'admin, ET un code d'activation, reçu lui par mail...

    Ensuite, si au bout d'un certain délai (comme pour un nouveau compte) le nouveau pass (si nouveau pass il y a) n'est pas réactivé, le compte retourne à l'ancien pass (compte désactivé tant qu'il n'y a pas de réactivation ou de log avec l'ancien pass)

    ensuite, on peut toujours combiner les deux techniques : question secrète + réactivation du compte

    Et il vaudrait mieux je pense fournir un nouveau mot de passe en cas de perte, ainsi, pas de risque de récupérer le mot de passe d'un membre...
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

  13. #73
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Excuse-moi Swoög mais je n'ai pas saisi tes 1ères phrases... Le pirate qui possède l'accès à la boîte aux lettres du membre peut très bien faire une demande, voir le mot de passe affiché à l'écran, obtenir le n° de réactivation par mail, venir réactiver le compte et se logger à la place du membre!

    De plus, que ce soit un nouveau mot de passe ou l'ancien mdp qui est donné, il faut une question secrète afin d'identifier l'utilisateur qui fait la demande. L'envoi d'un n° d'activation par mail sert uniquement à vérifier la validité de l'adresse mail fournie, et accessoirement à valider un nouveau mot de passe pour remplacer l'ancien. Comme tu l'as dis, c'est à l'admin de choisir si il va donner un nouveau mot de passe ou l'ancien lors d'une demande. Mais le problème reste le même dans les deux cas, il faut identifier l'utilisateur avant de donner un mot de passe... à+
    De retour parmis vous après 10 ans!!

  14. #74
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    Bien sûr, mais comme l'a dit Faaalllllling, il est plus simple de récuppérer la réponse à la question par SE que de s'approprier la boîte mail de quelqu'un...

    Pour identifier le membre en cas de perte de mot de passe, on peut toujours faire comme fait Thawte il me semble : il stocke un numéro légal d'identification (N° de CIN, de permis, passeport, etc...) et c'est ce numéro qu'il demande en cas de perte de mot de passe. c'est une information facile à retrouver pour le membre réel, et je en pense pas que qui que ce soit soit assez stupide (excusez-moi du mot) pour donner son N° de CIN, de permis ou passeport à n'importe qui et à tout le monde...

    Au moins l'identification est totalement sûre, car impossible à avoir par brute force (étant donnée la grandeur de ces numéros) et normalement, quasi impossible à avoir via SE...

    Ensuite, c'est le problème de la nécessité qui se pose, est-ce que ces numéros se vérifient facilement ? etc... de manière à être sûr que le numéro est le membre correspondent, ou interdire sinon la livraison d'un nouveau mot de passe.... beaucoup d'options sont possibles....
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

  15. #75
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    le SE ou Social Engineering consiste à acquérir la confiance de quelqu'un ou (plus simple mais moins efficace) à faire des recherches sur quelqu'un dans le but de récolter un maximum d'informations sur cette personne...

    Il n'y aurai donc qu'une tentative sur le serveur, et elle serait valide, mais ce n'est pas le membre qui l'aurait faite !

    C'est pour ça qu'une identification par question secrète n'est pas sécurisée....

    Mais si on demande un numéro d'indetification légal, il n'y aura pas de risque. (si on le met dans une liste de choix, personne ne le prendra.... les gens préfèrerons un truc plus simple !)
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

  16. #76
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Je rappel l'objectif principal de ce projet est la protection des membres, que tout soit fait pour que même si un membre se fait hacké, la sécurité des autres soit toujours garantie. Si le membre en question est assez idiot pour ne pas choisir une question dans la liste dont il sera sûr que personne ne peut répondre à sa place, tanpis pour lui. Mais en tous les cas, les autres membres n'en patiront pas! C'est l'essentiel! Après tout, libre au membre de diffuser son mdp sur le net si il en a envie, mais la méthode utilisée est sécurisée pour celui qui l'utilise correctement et intelligemment. Nous avertirons tous les membres du mode opératoire et des éventuels risques (un homme averti...)

    Nous n'allons pas donner d'hyperlien dans le mail justement pour éviter qu'un pirate envoi un faux mail au membre et le pousse à s'identifier sur un site mirroir. Nous donnerons un délai d'activation pour que le membre sache quand il va recevoir un mail du programme, etc...

    Faaalllllling nous proposait tout à l'heure de donner un mot de passe et d'envoyer un mail d'activation pour une demande de perte de mot de passe pour ne pas avoir à utiliser une question secrète... Selon lui, ça décalerait le problème... Pas du tout! Le membre qui aura oublié la réponse de sa question secrète n'aura plus la possibilité d'obtenir un mot de passe!

    Citation Envoyé par Swoög
    Il n'y aurai donc qu'une tentative sur le serveur, et elle serait valide, mais ce n'est pas le membre qui l'aurait faite!
    C'est pour cette raison que nous devons choisir au départ des questions bien précises et très particulières et pas du style "Quel le nom de votre animal préféré?". Il appartiendra au membre de choisir dans cette liste, une question dont personne connait la réponse. L'admin de l'espace membre est dégagé de toute responsabilité: Le système est selon moi on ne peut plus sécurisé.

    à+
    De retour parmis vous après 10 ans!!

  17. #77
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Merci Swoög!

    Je me demandais si nous pouvions ajouter dans ce formulaire d'inscription, en dessous de cette liste de questions, une case à cocher "se souvenir de la question sélectionnée". -> Pour plus de sécurité encore, le membre aurait la possibilité de ne pas afficher la question lors d'une demande de perte de mot de passe, mais devra la sélectionner à nouveau dans la liste, ce qui compliquerait davantage la tâche au pirate!

    Ou bien/en même temps, si nous laissions le membre répondre à plusieurs questions de son choix?

    Qu'en pensez-vous?

    Très cordialement
    De retour parmis vous après 10 ans!!

  18. #78
    Membre à l'essai
    Inscrit en
    Février 2003
    Messages
    13
    Détails du profil
    Informations forums :
    Inscription : Février 2003
    Messages : 13
    Points : 17
    Points
    17
    Par défaut
    Citation Envoyé par Swoög
    Pour les questions :

    N° CIN ou Passeport
    N° Permis
    N° d'un Diplôme
    Matricule d'Identification pour un Diplôme (style numéro BEA ou Matricule pour le BAC... etc...)
    C'est légal de demander ce type d'information ... sans une inscription à la CNIL :

    Pour "augmenter" la sécurité, il est peut être préférable de séparer le login de l'utilisateur de son nom d'utilisateur
    ça complique légèrement la tâche du pirate qui doit chercher le mot de passe et le login.

    Une autre chose, éduquer l'utilisateur en l'empêchant de prendre des passes simple (mot supérieur à X caractères en cas de modif, mot français interdit ainsi ceux du type jacques75, etc...)

  19. #79
    En attente de confirmation mail
    Inscrit en
    Août 2004
    Messages
    9
    Détails du profil
    Informations forums :
    Inscription : Août 2004
    Messages : 9
    Points : 11
    Points
    11
    Par défaut
    Citation Envoyé par Sub0
    Si le membre en question est assez idiot pour ne pas choisir une question dans la liste dont il sera sûr que personne ne peut répondre à sa place, tanpis pour lui.
    ...
    Le membre qui aura oublié la réponse de sa question secrète n'aura plus la possibilité d'obtenir un mot de passe!
    ...
    C'est pour cette raison que nous devons choisir au départ des questions bien précises et très particulières et pas du style "Quel le nom de votre animal préféré?". Il appartiendra au membre de choisir dans cette liste, une question dont personne connait la réponse.
    Le système de question secrète fonctionne si :
    1. la réponse est "inoubliable" pour le membre
    2. la réponse ne peut pas être connue par quelqu'un d'autre que le membre

    Mais malheureusement il n'existe aucun type de question dont la réponse admette les deux propositions précédentes. Il y a toujours un compromis. Des informations comme le n° de permis,carte d'identité... sont celles qu'on peut le moins oublié (pour le coup on peut dire que le point 1 est maximisé) mais en revanche ca risque d'être le genre de réponses le plus facile à trouver par SE! Quand on voit que des hackers arrivent à soutirer le mot de passe d'un mec, ils sont bien entendus capable de trouver sa carte d'identité lol. Ce genre d'informations sont presque publiques : je sais pas si on peut légalement obtenir le n° de carte d'identité d'une personne (à vérifier) mais on peut facilement le recevoir : controle de police, inscription sur un site qui le demande...

    Et puis si jamais vous arrivez à trouver une réponse qui soit telle qu'elle vérifie les deux points ci-dessus (le membre ne peut pas l'oublier et personne d'autre peut la connaître), à ce moment là cette réponse est une bonne candidate pour remplacer le pass proincipal (qui lui est tel qu'il vérifie entièrement le point 2 (personne peut le trouver) mais pas le point 1 (on peut l'oublier sinon on réféchirait pas sur un système de récupération de pass)).
    ==> Soit le système de question secrète est pas sécurisé (il n'a donc pas lieu d'être), soit il l'est et dans ce cas autant en faire le pass (encore une fois le système de question secrète n'a pas lieu d'être).

    Moi ce que j'aime pas dans la question secrète c'est que ca revient à demander au membre un pass secondaire pour retrouver son pass principal

    De toute façon n'importe quel système de récuération de pass est une faille de sécurité. Si il était impossible de récupérer le pass, votre projet serait (presque) secure à 100%, puisqu'on serait sur que la personne tapant son login et son pass serait celle de l'inscription.

    Sub0>> le prend pas mal! je cherche pas à descendre votre projet mais je donne seulement mon avis sur des points qui me semblent pas optimisés. Encore une fois ca ne reste que mon avis

  20. #80
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    laisser le membre choisir sa question, d'accord, mais il faudrait mettre la réponse en md5 (ou autre Hash) comme ça on peut pas récupérer l'info, et il n'y a pas de risque de problème avec la CNIL..... (comme l'a fait remarqué Faaalllllling) bien que je ne pense pas que quelqu'un mette volontairement une information de cette importance...
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

Discussions similaires

  1. aide pour un espace membre
    Par cultureman dans le forum Langage
    Réponses: 4
    Dernier message: 03/09/2013, 16h54
  2. [Forum] Quel forum pour mon espace membre
    Par okoweb dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 28/08/2008, 01h12
  3. [Sécurité] Créer un espace membre
    Par Stouille89 dans le forum Langage
    Réponses: 3
    Dernier message: 13/03/2007, 00h49
  4. [Sécurité] Gestion d'espace membre
    Par pas30 dans le forum Langage
    Réponses: 11
    Dernier message: 26/12/2006, 20h18
  5. [Sécurité] Réalisation d'un espace membre
    Par Goundy dans le forum Langage
    Réponses: 3
    Dernier message: 30/01/2006, 20h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo