IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Pensez-vous que la blockchain soit une alternative sérieuse à l'identification traditionnelle ?

Votants
19. Vous ne pouvez pas participer à ce sondage.
  • Oui, c'est une option technologique intéressante

    2 10,53%
  • Non, je n'opte pas pour cette voie

    11 57,89%
  • Je suis partagé

    4 21,05%
  • Pas d'avis

    2 10,53%
Actualités Discussion :

Blockchain : une alternative sérieuse au couple identifiant/MdP ?

  1. #21
    Membre émérite
    Inscrit en
    janvier 2011
    Messages
    805
    Détails du profil
    Informations personnelles :
    Localisation : Autre

    Informations forums :
    Inscription : janvier 2011
    Messages : 805
    Points : 2 931
    Points
    2 931
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Le problème c'est que pour permettre un mécanisme de révocation de clef (du fait d'une perte ou d'un vol) il est obligatoire d'avoir une autorité centralisatrice. C'est un problème parfaitement insoluble sans ça.
    C'est exactement ce qu'on dit depuis le début du thread : il faut une autorité émettrice d'identité (l'Etat, etc.)

    La blockchain est un des rouages, pas une solution magique en soi. Le bullshit c'est de brandir le mot blockchain comme un talisman alors que la solution est beaucoup plus vaste que ça.

  2. #22
    Membre averti

    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    novembre 2017
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : novembre 2017
    Messages : 99
    Points : 385
    Points
    385
    Par défaut
    Citation Envoyé par Luckyluke34 Voir le message
    Attention, le but de blockchain identity c'est pas que d'être un super SSO hein.

    La première raison évoquée pour mettre en place ce système c'est la protection des données sensibles :

    - Les identifiants ne se baladent plus chez X acteurs du web plus ou moins sécurisés mais dans la blockchain => moins de chances de se faire pirater ou usurper son identité
    - Aspect "souverain" ou l'usager a un contrôle très fin de quelles infos il partage avec quel acteur

    Le SSO est un deuxième effet kiss kool qui dépend de l'adhésion à telle ou telle plateforme de blockchain. Certes il faut atteindre une masse critique d'utilisateurs pour que l'aspect peer to peer de la blockchain fontionne, mais ça ne veut pas forcément dire un seul big brother qui chapeaute tout du compte Amazon jusqu'à la déclaration d'impôt en passant par le péage d'autoroute.
    Le web est sincèrement de mieux en mieux sécurisé, l'erreur c'est d'utilisé le même mot de passe partout et la même adresse mail. La valeur ajoutée du blockchain est la même qu'utilisé un service de SSO.

    Si le blockchain garantis l'intégrité des données, le faite de pouvoir les lires c'est totalement autre chose. Dans un cas de BDD centralisé, faut déjà accéder à cette dernière, dans le cas du blockchain tu n'a pas cette étape. Derrière trouver la clé bla-bla oui c'est sécurisé. Mais clairement bien moins que des BDD centralisé comme iCloud

    Le blockchain c'est utile pour transmettre des informations qu'on souhaite partager, comme des transactions financières, des actes de propriétés, des contrats, décentralisé l'information des actes de propriétés, ça existait bien avant le premier transistor.

    tu le dis très bien c'est du bullshit, le blockchain n'est pas une solution pour de l'authentification. Et l'autre débat autour d'une authentification commune, universelle et centralisé, qui tourne autour d'une autorité suprême c'est même pas envisageable, jamais ça ne dois exister.

  3. #23
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : décembre 2011
    Messages : 879
    Points : 3 266
    Points
    3 266
    Par défaut
    Citation Envoyé par Marco46 Voir le message
    Le problème c'est que pour permettre un mécanisme de révocation de clef (du fait d'une perte ou d'un vol) il est obligatoire d'avoir une autorité centralisatrice. C'est un problème parfaitement insoluble sans ça.

    C'est comme si vous aviez un mot de passe unique inchangeable. Si vous l'oubliez ou que quelqu'un en prend connaissance vous êtes mort.

    L'absence de cette fonctionnalité rend inenvisageable un usage de masse de la blockchain. Pour moi c'est ce qui rend cette techno vraiment "bullshit word". A part des usages dans des cas très particuliers je vois mal comment elle pourrait percer.
    Avant même de parler de perte ou de vol, comment t'associe l'être humain à la blockchain? Tu lui donnes une clé physique ou il doit mémoriser une clé privée

    Si les clés physiques étaient plus pratiques que le couple identifiant/mot de passe, on aurait toujours utilisé une solution à base de clé physique, je crois.

  4. #24
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 1 186
    Points : 3 020
    Points
    3 020
    Par défaut
    Citation Envoyé par Artemix Voir le message
    Un lecteur d'empreintes digitales n'arrêtera pas des voleurs motivés et le résultat risque surtout d'être pire !

    Un exemple "amusant" de news étant déjà arrivée sur les lecteurs d'empreintes digitales est un propriétaire d'une voiture "de luxe" qui s'est fait couper l'index pour que les voleurs puissent garder le contrôle de la voiture à n'importe quel moment:

    http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm
    L'empreinte digitale est en aucun cas une clé privée puisqu'elle traine partout. Et il est très facile de la capter (sur un verre, par exemple) avec un gant en latex et un peu de ninhydrine (révélateur des acides aminés).

    Et puis essayez donc de révoquer votre empreinte digitale si vous l'estimez compromise...
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  5. #25
    Membre expert
    Avatar de Chauve souris
    Homme Profil pro
    amateur (éclairé ?)
    Inscrit en
    novembre 2005
    Messages
    1 186
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 74
    Localisation : Paraguay

    Informations professionnelles :
    Activité : amateur (éclairé ?)

    Informations forums :
    Inscription : novembre 2005
    Messages : 1 186
    Points : 3 020
    Points
    3 020
    Par défaut
    Il me semble que tout ça c'est du pipo et que ça veut surfer sur la mode. La bonne vieille paire clés publique/privée façon PGP me semble indémodable. Il faut juste pouvoir saisir son password par des clics souris sur un pavé numérique aléatoire comme le font toutes les banques pour entrer dans son espace perso, afin qu'un éventuel scruteur de frappes clavier ne puisse rien en faire.
    "Toute l'histoire de l'informatique n'a été que l'histoire des systèmes d'exploitations" (Le Manifeste du PC)

  6. #26
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    448
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 448
    Points : 608
    Points
    608
    Par défaut
    Citation Envoyé par Almopine Voir le message
    Si je suis ton discours tu prône un système d'authentification unique pour tous et universel, Il y a forcément une autorité capable de délivrer ta clé et qui en soi garant. La seul possible c'est l'état. C'est de la centralisation.
    Dépriment, qu'est ce qu'y vous échappe dans :
    Citation Envoyé par ijk-ref Voir le message
    Si tout le monde avait une clé personnelle on aurait plus à demander de mot de passe... juste à insérer sa clé pour s'identifier - c'est elle qui se chargerait de créer et retenir les identifiants et MdP fiables
    Citation Envoyé par ijk-ref Voir le message
    Je ne dis rien d'autre. Je ne parlais absolument pas d'identifiants unique mais bien d'un système de stockage d'identifiants...
    La confusion doit provenir d'avoir nommé cela une "clé" alors que techniquement c'est plus un "trousseau de clés" alors je vais le redire avec ce terme.

    Cet "e-keyring" ne ferait rien d'autre que retenir pour toi les multitudes d'identifiants et mots de passes de tes sites internets. Au lieu de chercher dans ta mémoire ou dans ton calepin, il tape pour toi l'identifiant et le mot de passe enregistré (dans sa mémoire interne) pour le site sélectionné. Pour un autre site ça sera évidemment un autre mot de passe et l'identifiant que tu auras choisi. C'est clair non !? Je n'invente rien. Je ne doit pas plus inventer que pour l'inscription sur un site cet "e-keyring" généra lui-même un mot de passe fort pour simplifier et surtout pour éviter à l'humain de rentrer lui même un mot de passe peu fiable.

    Il n'y a aucune centralisation là dedans. A moins que pour toi l'existence d'un simple calepin papier soit aussi géré par une "autorité"

  7. #27
    Membre averti

    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    novembre 2017
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : novembre 2017
    Messages : 99
    Points : 385
    Points
    385
    Par défaut
    Citation Envoyé par ijk-ref Voir le message
    Dépriment, qu'est ce qu'y vous échappe dans :
    La confusion doit provenir d'avoir nommé cela une "clé" alors que techniquement c'est plus un "trousseau de clés" alors je vais le redire avec ce terme.

    Cet "e-keyring" ne ferait rien d'autre que retenir pour toi les multitudes d'identifiants et mots de passes de tes sites internets. Au lieu de chercher dans ta mémoire ou dans ton calepin, il tape pour toi l'identifiant et le mot de passe enregistré (dans sa mémoire interne) pour le site sélectionné. Pour un autre site ça sera évidemment un autre mot de passe et l'identifiant que tu auras choisi. C'est clair non !? Je n'invente rien. Je ne doit pas plus inventer que pour l'inscription sur un site cet "e-keyring" généra lui-même un mot de passe fort pour simplifier et surtout pour éviter à l'humain de rentrer lui même un mot de passe peu fiable.

    Il n'y a aucune centralisation là dedans. A moins que pour toi l'existence d'un simple calepin papier soit aussi géré par une "autorité"
    ça existe déjà, tu as littéralement une application trousseau de clés sur Mac.

    Maintenant si tu perds l'accès à ton trousseau tu fais comment ?

  8. #28
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    448
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 448
    Points : 608
    Points
    608
    Par défaut
    Citation Envoyé par Almopine Voir le message
    ça existe déjà, tu as littéralement une application trousseau de clés sur Mac.
    Je ne la connais pas mais bien sûr que cela existe déjà sur quasi tous les systèmes d'exploitation et même sous forme de clé USB... je ne vais pas réécrire ce que j'ai déjà dit.
    Citation Envoyé par Almopine Voir le message
    Maintenant si tu perds l'accès à ton trousseau tu fais comment ?
    J'ai bien sûr des pistes... en espérant que cela ne reparte pas comme ma proposition de sécurité digitale... pour comprendre tout autre chose

    Il faut donc une copie de secours. Copie qui devra pouvoir se faire dans n'importe quel cloud (donc pas de centralisation !) et qui proposera cette unique fois là de noter et conserver bien précautionneusement sur papier un code pour pouvoir accéder et décoder(*) la copie en cas de perte du trousseau. ((*) : comme la copie serait fortement cryptée, non la CIA ne pourrait pas y avoir accès)

    Un "cloud" hors réseau pourrait même être proposer pour ceux voulant que la copie ne puisse pas sortir physiquement et virtuellement de leur bureau ou domicile.

    Il pourrait même avoir la possibilité d'enregistrer dans différents clouds à la fois pour minimiser les risques de perte.

  9. #29
    Membre actif

    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2013
    Messages
    151
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Pérou

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : octobre 2013
    Messages : 151
    Points : 281
    Points
    281
    Par défaut
    @ijk-ref :

    Il faut vraiment aussi une procédure pratique en cas de perte ou de vol.
    Une solution serait que tous les objets répondant à cette clé (donc, le verrou électrique d’une porte, par exemple) soient connectés, de sorte qu’une inhibition demandée suite à un vol puisse fonctionner immédiatement (ou au plus tôt). Et puis il leur faudra probablement être alimentés en permanence, pour ça et pour fonctionner. Internet est-il disponible quand la panne de courant concerne tout un secteur ? Combien de temps en réserve d’énergie ? On arrive ainsi à une solution de secours (genre clé mécanique, pour un verrou)…

    Un objet "simple" connecté est une source pour l'espion, sinon source d’ennui.

  10. #30
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par Chauve souris Voir le message
    Il faut juste pouvoir saisir son password par des clics souris sur un pavé numérique aléatoire comme le font toutes les banques pour entrer dans son espace perso, afin qu'un éventuel scruteur de frappes clavier ne puisse rien en faire.
    Je ne sais pas si c'est sincère ou pas, mais cette idée que certaines banques et services utilisent est totalement stupide.

    Un clavier, si tu admets que c'est sur ta machine et que tu n'installes pas de merdes, tu peux rapidement taper dessus et "cacher" ton mot de passe à la vue de quiconque. De plus, tu as accès à tout le charset d'un clavier, donc tu as beaucoup plus de choix pour ton mot de passe.

    Ces horreurs de digicodes numériques imposent plusieurs choses:

    - Un MdP uniquement composé d'un charset extrêmement réduit: il ne faut pas que le pad prenne la moitié de l'écran. On verra alors généralement seulement des chiffres, généralement pour un mot de passe de 6 ou 8 chiffres...
    - Le pad va placer aléatoirement les chiffres, sinon ce serait trop simple à l'aide de n'importe quel programme de lecture d'écran, voire caméra ou autre, de, à force d'utilisation, "déterminer" un chemin probable de mot de passe: Du coup, tu passe 40 plombes à la souris à chercher à taper ton code, lentement.

    N'importe qui qui regarde par dessus ton épaule a tout le temps de le regarder, et les limitations abberrantes que ce système impose permet même à ceux regardant de le mémoriser sans effort.

  11. #31
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    448
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 448
    Points : 608
    Points
    608
    Par défaut
    Citation Envoyé par Paul_Le_Heros Voir le message
    Une solution serait que tous les objets répondant à cette clé (donc, le verrou électrique d’une porte, par exemple) soient connectés, de sorte qu’une inhibition demandée suite à un vol puisse fonctionner immédiatement (ou au plus tôt). Et puis il leur faudra probablement être alimentés en permanence, pour ça et pour fonctionner. Internet est-il disponible quand la panne de courant concerne tout un secteur ? Combien de temps en réserve d’énergie ? On arrive ainsi à une solution de secours (genre clé mécanique, pour un verrou)…

    Un objet "simple" connecté est une source pour l'espion, sinon source d’ennui.
    Le principal défaut des objets "simples" connectés est qu'ils réinventent quasiment leur système de sécurité à chaque fois. D'où l'intérêt de leurs proposer une brique libre-universelle de connection-identification... le meilleur de la sécurité du moment.

    Bien que je n'approuve pas que tous les objets répondant à cette "clé" soient connectés. En cas de (déclaration de) vol, la procédure de la création de copie devrait nous prévenir des objets non connectés demandant un déplacement physique pour rendre inutilisable la clé volé. A mon avis le nombre d'objets non-connectés ne devrait pas être énorme.

    Sinon je pense aussi à un détail non négligeable. En cas de vol il serait possible que son "nouveau" propriétaire met à jour rapidement tous les mots de passes rendant la copie du "vrai" propriétaire obsolète. Ou inversement un voleur s'empare du code de la copie rendant la clé du propriétaire obsolète.

    C'est pourquoi il faudrait donc une procédure pour qu'un individu en possession du code de la copie ou (du code) de la clé puisse devenir prioritaire sur tout changement. Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.

    Attention je vois encore les paranos imaginer qu'il devrait donc avoir "centralisation" de toutes nos données. Alors que pas du tout. Même si mathématiquement je ne suis pas sûr de prouver la viabilité du concept

  12. #32
    Expert éminent sénior
    Avatar de Marco46
    Homme Profil pro
    Développeur informatique
    Inscrit en
    août 2005
    Messages
    4 413
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : août 2005
    Messages : 4 413
    Points : 19 363
    Points
    19 363
    Par défaut
    Citation Envoyé par Artemix Voir le message
    Je ne sais pas si c'est sincère ou pas, mais cette idée que certaines banques et services utilisent est totalement stupide.

    Un clavier, si tu admets que c'est sur ta machine et que tu n'installes pas de merdes, tu peux rapidement taper dessus et "cacher" ton mot de passe à la vue de quiconque.

    [...]

    N'importe qui qui regarde par dessus ton épaule a tout le temps de le regarder, et les limitations abberrantes que ce système impose permet même à ceux regardant de le mémoriser sans effort.
    Ça sert à protéger madame michu sur son vieux windows cramoisi et non mis à jour des 18 keyloggers installés par les .ppt envoyés par ses copines ou auto-installés par les bots qui ont zombifié son PC depuis des années.

    Du coup c'est pertinent.
    Un problème avec Git ? Essayez la FAQ, sinon posez votre question sur le forum.



    "Toute personne croyant qu'une croissance exponentielle peut durer indéfiniment dans un monde fini est soit un fou, soit un économiste."
    Kenneth E. Boulding

    "Les richesses naturelles sont inépuisables, car, sans cela, nous ne les obtiendrions pas gratuitement. Ne pouvant être ni multipliées ni épuisées, elles ne sont pas l’objet des sciences économiques."
    Jean-Baptiste Say, Traité d'économie politique, 1803.

    "/home/earth is 102% full ... please delete anyone you can."
    Inconnu

  13. #33
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 173
    Points : 394
    Points
    394
    Par défaut
    Citation Envoyé par Artemix Voir le message
    Un exemple "amusant" de news étant déjà arrivée sur les lecteurs d'empreintes digitales est un propriétaire d'une voiture "de luxe" qui s'est fait couper l'index pour que les voleurs puissent garder le contrôle de la voiture à n'importe quel moment:

    http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm
    En tout cas jusqu'au pourrissement du doigt

    Citation Envoyé par Luckyluke34 Voir le message

    Je ne crois pas que ce soit l'historique de toutes les connexions qui se retrouve dans la blockchain mais seulement les transactions qui constituent l'identité d'un utilisateur et ses métadonnées.
    Je dirais même plus : la blockchain est distribuée entre les utilisateurs.


    Il existe des algorithmes pour assurer l'anonymat de la Blockchain, exemple avec les cryptomonnaies : le Dash ou encore le Zerocoin.

  14. #34
    Membre averti

    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    novembre 2017
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : novembre 2017
    Messages : 99
    Points : 385
    Points
    385
    Par défaut
    Citation Envoyé par ijk-ref Voir le message
    Le principal défaut des objets "simples" connectés est qu'ils réinventent quasiment leur système de sécurité à chaque fois. D'où l'intérêt de leurs proposer une brique libre-universelle de connection-identification... le meilleur de la sécurité du moment.

    Bien que je n'approuve pas que tous les objets répondant à cette "clé" soient connectés. En cas de (déclaration de) vol, la procédure de la création de copie devrait nous prévenir des objets non connectés demandant un déplacement physique pour rendre inutilisable la clé volé. A mon avis le nombre d'objets non-connectés ne devrait pas être énorme.

    Sinon je pense aussi à un détail non négligeable. En cas de vol il serait possible que son "nouveau" propriétaire met à jour rapidement tous les mots de passes rendant la copie du "vrai" propriétaire obsolète. Ou inversement un voleur s'empare du code de la copie rendant la clé du propriétaire obsolète.

    C'est pourquoi il faudrait donc une procédure pour qu'un individu en possession du code de la copie ou (du code) de la clé puisse devenir prioritaire sur tout changement. Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.

    Attention je vois encore les paranos imaginer qu'il devrait donc avoir "centralisation" de toutes nos données. Alors que pas du tout. Même si mathématiquement je ne suis pas sûr de prouver la viabilité du concept
    Enfaite tu as juste pas poussée assez loin ta réflexion sur le sujet

    C'est ce qu'on t'expliques depuis le premier message :

    Et là seul un organisme garantissant son identité physique devra être capable de délivrer un nouveau code à partir du code donné par l'individu.
    Que c'est ce point là qui bloque, car tu centralises l'accès à toutes tes données dans un organisme, je suis pas parano, tu es naïf pour le coup de croire que c'est sans danger, c'est tellement dangereux que c'est même plus qu'illégale, c'est anticonstitutionnel. Même l'état n'a pas le droit de faire ça.

  15. #35
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    448
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 448
    Points : 608
    Points
    608
    Par défaut
    Citation Envoyé par Almopine Voir le message
    Enfaite tu as juste pas poussée assez loin ta réflexion sur le sujet

    C'est ce qu'on t'expliques depuis le premier message :

    Que c'est ce point là qui bloque, car tu centralises l'accès à toutes tes données dans un organisme, je suis pas parano, tu es naïf pour le coup de croire que c'est sans danger, c'est tellement dangereux que c'est même plus qu'illégale, c'est anticonstitutionnel. Même l'état n'a pas le droit de faire ça.
    Non hélas c'est encore toi incapable de voir dans une autre sens que celui que tu souhaites donné pour assouvir ton drôle de fantasme.

    Je n'ai jamais dit : un organisme capable de donner un code à partir de rien... ouvrant tout !

    J'ai pas envie de faire un schéma super compliqué mais je pense qu'il est tout à fait possible à partir de cryptographie asymétrique & co qu'un organisme te donne un code 'B' à partir d'un code 'A' vérifié comme t'appartenant... sans qu'à aucun moment l'organisme soit en possession du code 'A' ou du code 'B' !!!

    Dans ce cas arrête avec ta centralisation qui est aussi la dernière chose que je souhaite.

  16. #36
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 173
    Points : 394
    Points
    394
    Par défaut
    Pour que l'organisme assure l'identité de ses utilisateurs sans connaître la clé publique et la clé privée il faudrait que ce ne soit pas lui qui fournisse de nouveaux identifiants mais qu'il obtienne une preuve d'identité avant d'accepter un changement de clé (il ne connaitra que la clé publique) mais finalement la clé publique suffit, et elle est là pour ça, pour identifier chacun des utilisateurs il n'y a malheureusement aucun anonymat avec ce genre de système.

    La blockchain qui est une simple base de données (ou historique) distribuée et hachée fait parler d'elle par le truchement du Bitcoin qui fait beaucoup parler de lui (ça existait déjà dans le protocole Torrent). Alors oui c'est une technologie très intéressante mais pas au point d'être LA solution à toutes les problématiques existantes

  17. #37
    Membre averti

    Homme Profil pro
    Développeur en systèmes embarqués
    Inscrit en
    novembre 2017
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aube (Champagne Ardenne)

    Informations professionnelles :
    Activité : Développeur en systèmes embarqués

    Informations forums :
    Inscription : novembre 2017
    Messages : 99
    Points : 385
    Points
    385
    Par défaut
    Citation Envoyé par ijk-ref Voir le message
    J'ai pas envie de faire un schéma super compliqué mais je pense qu'il est tout à fait possible à partir de cryptographie asymétrique & co qu'un organisme te donne un code 'B' à partir d'un code 'A' vérifié comme t'appartenant... sans qu'à aucun moment l'organisme soit en possession du code 'A' ou du code 'B' !!!
    Oui c'est possible, c'est même très simple à mettre en place, mais ça change pas le problème.

    Comment vérifier que le code 'A' t'appartient à 100% ? on parle bien d'un code 'A' à utiliser au cas où tu perds ta clé ? ton code 'A' est déjà sensée être ta preuve d'identité pour récupérer un nouveau code, mais faut qu'il sois fiable à 100%.

  18. #38
    Membre confirmé
    Profil pro
    Inscrit en
    avril 2008
    Messages
    448
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : avril 2008
    Messages : 448
    Points : 608
    Points
    608
    Par défaut
    J'espère qu'après je n'aurai pas aussi une interrogation sur les détails du 'HTTPS' ni sur les cryptomonnaies

    Donc je réponds seulement à "Comment vérifier que le code 'A' t'appartient à 100% ?". Sans prendre en compte les multiples autres détails qu'il faudrait ajouter - par exemple pour que 'A' ne soit pas lu par l'organisme... sinon je vais m'embrouiller (encore plus)

    Ce code doit contenir une signature numérique. Par exemple tu donnes à l'organisme "Pierre Dupond 04/11/1985 S5V#SP4dSsg47f2c3o" qui permet de t'identifier plus un "grain de sel" rendant la signature unique.

    Si ce code 'A' contient la signature cryptée : c'est bon le code t'appartient. Evidemment le code 'A' seul ne permettrait absolument pas de retrouver le signature en clair.

    Ca aussi ça existe non ?

  19. #39
    Membre émérite
    Inscrit en
    janvier 2011
    Messages
    805
    Détails du profil
    Informations personnelles :
    Localisation : Autre

    Informations forums :
    Inscription : janvier 2011
    Messages : 805
    Points : 2 931
    Points
    2 931
    Par défaut
    Citation Envoyé par Almopine Voir le message
    Le web est sincèrement de mieux en mieux sécurisé, l'erreur c'est d'utilisé le même mot de passe partout et la même adresse mail. La valeur ajoutée du blockchain est la même qu'utilisé un service de SSO.
    Ce n'est pas (que) ça le problème, c'est que des preuves d'identité ou des métadonnées sensibles - copie de pièce d'identité, adresse, téléphone, photos, mail, etc. - se baladent partout. Une grosse partie de ces données n'est pas stockée de manière chiffrée actuellement et il suffit de regarder les fuites de données de ces derniers temps chez des grands acteurs (Uber, Adobe, Yahoo, etc.) pour se rendre compte de la vulnérabilité de ces emplacements.

    Don non, on ne peut pas réduire ça à du SSO.

    tu le dis très bien c'est du bullshit, le blockchain n'est pas une solution pour de l'authentification.
    J'ai pas dit ça, j'ai dit que ce n'était pas une silver bullet et que l'identification nécessitait une autorité de confiance, ce qui va au-delà de la simple blockchain. La blockchain peut être un des ingrédients, pas le remède.

  20. #40
    Membre averti
    Profil pro
    Développeur informatique
    Inscrit en
    décembre 2013
    Messages
    173
    Détails du profil
    Informations personnelles :
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : décembre 2013
    Messages : 173
    Points : 394
    Points
    394
    Par défaut
    @ijk-ref : Tu balances des infos pêle-mêle, ça ne va pas forcement aider à éclaircir les choses

    Pour ceux qui ne sont pas familiers avec la cryptographie, il faut savoir que la cryptographie asymétrique est une technique qui consiste à donner un nombre aléatoire (ou presque) à une fonction mathématique pour générer deux ensembles de caractères hexadécimales, des clés. Ces deux clés sont liées mais de manière à ce qu'il soit difficile d'en retrouver une en fonction de l'autre. On en choisi une qu'on garde secrète (la clé privée) et on diffuse l'autre (la clé publique). Chacun des interlocuteurs génère leur propre jeu de clés.

    Premier cas :
    Lorsque A veux envoyer un message chiffré (un condensat) à B il va appliquer une fonction sur le message + la clé publique de B. B pourra le déchiffrer en appliquant la même fonction sur le condensat + sa propre clé privée.

    Autre cas :
    Lorsque A veut prouver son identité il applique la fonction sur le message + sa propre clé privée. N'importe qui, muni de la clé publique de A, pourra déchiffrer le message, s'il y parvient il saura que l'auteur est bien A (à moins que sa clé privée soit compromise).

    On peut bien sûr mélanger les deux techniques.

    L'authentification simple (par mot de passe) est la plus pratique mais n'est pas suffisante, l'authentification forte (par exemple : mot de passe + objet fournissant une clé privée) est bien plus satisfaisante, elle mêle possession et connaissance (c'est le système utilisée pour la carte bancaire) mais on peut aussi ajouter d'autres preuves (biométrique etc). La clé à usage unique devrait aussi plus être mise en avant je crois mais je ne connait pas bien la techno sous-jacente. Il me semble qu'il s'agit de générer à chaque usage un nouveau trousseau de clé (en fonction du précédent), pour un compte donné, sur un support local et sur le service puis de comparer.

    Je rappelle aussi que les systèmes de révocation de compte sont les endroits privilégiés pour tenter d'usurper une identité.

    Il est positif que du monde cherche à se passer des autorité de confiance, on verra ce qu'il en ressort.

    Une solution pour un Internet plus sûr serai déjà de former tout un chacun à la sécurité pour lui permettre de gérer lui-même son informatique et gagner en indépendance de sorte à pouvoir héberger soit-même ses services (genre une autorité de confiance, un cloud) ou de manière distribuée (pour reprendre l'idée de la blockchain).

    D'ailleurs partager les ressources de nos machines pour gérer tout les services qu'on utilise (open source et libres de préférence) serait une très bonne chose pour l'indépendance des individus et pour lutter contre le développement des fermes de serveurs (autant utiliser les machines dont on dispose plutôt que d'en construire d'autres et d'épuiser plus rapidement nos réserves de terres rares et autres ressources)

    Voir même de louer à d'autres une partie de notre puissance pour des trucs intéressants (genre pas le bitcoin qui consomme trop d'énergie entres autres mais pourquoi pas pour des studios de films d'animation) on se rapproche du système esclavagiste uber/youtube (il faudrait améliorer la transparence et le partage des clients de notre puissance, genre redistribuer une partie des bénéfices) mais en tout cas c'est la direction que prends actuellement la société).

Discussions similaires

  1. Réponses: 2
    Dernier message: 19/03/2013, 09h40
  2. Exite-t-il une alternative à SELECT ... INTO?
    Par Ditch dans le forum MS SQL Server
    Réponses: 6
    Dernier message: 19/04/2005, 09h52
  3. Une alternative à XCloseDisplay(Display *dpy) ?
    Par Michaël dans le forum Applications et environnements graphiques
    Réponses: 6
    Dernier message: 10/02/2005, 09h32
  4. Une alternative a ... ?
    Par Crapouille dans le forum OpenGL
    Réponses: 3
    Dernier message: 13/08/2004, 13h51
  5. Une alternative à glut
    Par davcha dans le forum GLUT
    Réponses: 3
    Dernier message: 11/07/2004, 09h19

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo