Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Affichage des résultats du sondage: Selon vous, quelles sont les règles à suivre pour concevoir un bon système d’authentification 

Votants
21. Vous ne pouvez pas participer à ce sondage.
  • Le hachage des mots de passe

    21 100,00%
  • Autoriser les fournisseurs d'identité tiers si possible

    3 14,29%
  • Séparer le concept d'identité et le compte d'utilisateur

    13 61,90%
  • Autoriser la liaison de plusieurs ID vers un seul compte d'utilisateur

    5 23,81%
  • Ne pas bloquer les mots de passe longs et complexes

    17 80,95%
  • Permettre le choix de n'importe quel nom d'utilisateur

    7 33,33%
  • Permettre aux utilisateurs de changer leur nom d’utilisateur

    9 42,86%
  • Les utilisateurs devraient pouvoir supprimer leurs comptes

    12 57,14%
  • Limiter la durée de la session ouverte dans certains cas

    17 80,95%
  • Utiliser l'authentification à deux facteurs

    13 61,90%
  • Rendre les identifiants des utilisateurs insensibles à la casse

    5 23,81%
  • Bâtir un système d’authentification sécurisé

    12 57,14%
  • Autres (préciser dans les commentaires)

    3 14,29%
  • Je n’ai pas d’avis

    0 0%
Sondage à choix multiple
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    844
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 844
    Points : 20 929
    Points
    20 929

    Par défaut Quelles sont les règles à suivre pour concevoir un bon système d’authentification ?

    Quelles sont les règles à suivre pour concevoir un bon système d’authentification ?
    Un architecte chez Google propose une liste de 12 bonnes pratiques

    Lorsque vous développez une application qui doit se connecter à un serveur d’authentification pour permettre aux utilisateurs d’accéder à un certain nombre de fonctionnalités, bien mettre en œuvre les règles de gestion des comptes, d’autorisation et de mots de passe est une tâche très complexe pour les développeurs. En plus de devoir être sécurisé, un bon système d’authentification devra être utilisable et évolutif. Pour parvenir à intégrer toutes ces contraintes dans un système d’authentification de compte, Ian Maddox, GCP Solutions Architect chez Google, propose 12 règles qu’il présente comme les bonnes pratiques pour s’assurer d’avoir un système d’authentification de compte sûr, évolutif et utilisable.

    1.Le hachage des mots de passe

    Selon Maddox, la règle la plus importante en matière de gestion de comptes « est de stocker en toute sécurité les informations sensibles des utilisateurs, y compris leur mot de passe ». Pour l’architecte, ces informations sensibles doivent être considérées comme sacrées, et par conséquent doivent être gérées de manière appropriée.

    En raison de leur sensibilité, l’architecte de Google recommande de ne jamais stocker des mots de passe en clair. Ce qu’il convient plutôt de faire, c’est hacher ces mots de passe avec des fonctions impossible à inverser et stocker leurs valeurs dans une base. Cela peut se faire en utilisant des fonctions de dérivation de clés comme PBKDF2, Argon2, Scrypt, ou encore Bcrypt. Par ailleurs, Maddox recommande de ne jamais utiliser des technologies de hachage obsolètes telles que MD5, SHA1 et en aucun cas le développeur ne doit utiliser un chiffrement réversible ou chercher à inventer son propre algorithme de hachage. Et pour ajouter une couche supplémentaire de sécurité, il préconise également d’appliquer un salage aléatoire à la valeur de hachage de chaque mot de passe d’utilisateur.

    Pour Maddox, lorsque le développeur conçoit son système d’authentification, il doit supposer qu’il sera éventuellement compromis. Aussi doit-il se poser des questions comme le fait que, « si ma base de données était exfiltrée aujourd’hui, la sécurité de mes utilisateurs serait-elle en péril sur mon service ou d’autres services qu’ils utilisent ? Que pouvons-nous faire pour réduire les risques de dommages en cas de fuite ? » En tentant d’apporter des réponses à ces questions, les développeurs renforceraient la sécurité de leur système et éviteraient d’exposer les données sensibles de leurs utilisateurs.

    Enfin, l’architecte souligne sur ce premier point que si vous êtes à même de produire le mot de passe d’un utilisateur en texte clair après qu’il été créé, cela suppose qu’il y a certainement un problème avec votre implémentation.

    2.Autoriser les fournisseurs d’identité tiers si possible

    Les fournisseurs d’identité tiers sont des entités extérieures qui vous permettent de vous fier à un service externe de confiance pour authentifier l’identité d’un utilisateur. Google, Facebook et Twitter sont des fournisseurs couramment utilisés qui peuvent être utilisés pour authentifier un utilisateur. À côté de cette solution, Maddox met en avant le fait que le développeur peut implémenter des fournisseurs d’identité externes à côté de son système d’authentification interne existant en utilisant une plateforme telle que Firebase Auth ou toute autre plateforme qui a déjà fait ses preuves.

    3.Séparer le concept d’identité de l’utilisateur et le compte d’utilisateur

    Selon Maddox, un système de gestion de comptes d’utilisateurs bien conçu a un faible couplage et une forte cohésion entre les différentes parties du profil d’un utilisateur. Pour mieux comprendre ce concept, l’architecte explique qu’il faut faire un distinguo entre les utilisateurs et les adresses e-mail. Pour lui, les utilisateurs ne sont ni un numéro de téléphone ni un identifiant unique fourni par une réponse OAUTH. Les utilisateurs sont et devraient être l’aboutissement de leurs données et de leur expérience uniques et personnalisées au sein de votre service.

    Il serait donc utile de séparer les concepts de compte d’utilisateur et d’informations d’identification. En agissant ainsi, cela donnera la possibilité aux utilisateurs de modifier leur nom d’utilisateur et de lier plusieurs identités à un compte d’utilisateur unique. De manière plus concrète, Maddox recommande d’avoir un identifiant global interne pour chaque utilisateur et de lier son profil et son identité d’authentification via cet identifiant, plutôt que de les empiler dans un seul enregistrement.

    4.Autoriser la liaison de plusieurs identités à un seul compte d’utilisateur

    Pour diverses raisons, un utilisateur peut vouloir créer plusieurs identités sur une plateforme donnée afin de faire par exemple la séparation entre ses différentes activités. Mais pour ne pas se disperser, ce dernier pourrait vouloir les regrouper sous un seul compte. En principe, si le développeur a bien respecté le principe de séparation de l’identité de l’utilisateur et l’authentification comme édicté par Maddox, alors cela s’avèrera plutôt facile de lier plusieurs identités à un seul utilisateur. Pour ce faire, le développeur pourrait demander à l’utilisateur de fournir un détail d’identification commun, tel que l’adresse e-mail, le téléphone ou le nom d’utilisateur. Si ces données correspondent à un utilisateur existant dans le système mis en place, l’on pourrait lui demander de s’authentifier auprès d’un fournisseur d’identité tiers connu et de lier le nouvel ID à son compte existant.

    5.Ne pas bloquer les mots de passe longs et complexes

    En aout 2017, l’ingénieur du NIST, Bill Burr, qui avait recommandé l’adoption des mots de passe difficiles à retenir (composés d’une une série combinée de chiffres, lettres majuscules et minuscules et de caractères spéciaux) a ouvertement reconnu qu’il regrettait d’avoir avancé ce conseil, car dans la pratique, cela créait plus d’inconvénients aux utilisateurs que cela ne les protégeait. Le NIST qui a repris les travaux de Bill Burr recommande désormais de composer des mots de passe avec des phrases longues et faciles à retenir au lieu de mots de passe courts et difficiles à retenir. Du côté du développeur, l’usage de mots de passe longs par l’utilisateur devrait en principe ne pas poser de problèmes. En effet, vu que la longueur de la valeur de sortie d’un mot de passe haché sera toujours fixe, pour Maddox, les utilisateurs devraient être en mesure d’utiliser des mots de passe aussi longs qu’ils le souhaitent. S’il y a une limite à imposer à l’utilisateur, cela devrait se faire en fonction de la taille maximale du POST autorisée par le serveur et qui est généralement au-dessus de 1 Mo. Enfin, Maddox précise également que le système d’authentification mis en place devrait permettre à l’utilisateur d’utiliser n’importe quel caractère qu’il souhaite comme les Émojis, les espaces, etc.

    6.Ne pas imposer de règles déraisonnables pour le choix des noms d’utilisateur

    Pour faciliter quelques fois la vie aux développeurs, certains sites préfèrent imposer des restrictions dans la composition des noms d’utilisateur. Certains sites peuvent exiger des noms d’utilisateur de plus de 2 ou 3 caractères. D’autres peuvent bloquer les caractères cachés ou encore empêcher les espaces au début et à la fin du nom choisi. En le faisant, cela facilite la gestion des comptes, mais pourrait également avoir un effet non souhaité d’éloigner certains utilisateurs. Pour Maddox, un site devrait donner la latitude à l’utilisateur de choisir le nom d’utilisateur qu’il désire, tout comme le mot de passe. Toutefois, la meilleure approche recommandée par l’architecte pour éviter des frustrations du côté de l’utilisateur serait d’attribuer des noms d’utilisateur. Et si c’est le cas, il faut s’assurer que le nom attribué est convivial et dénué de symboles visuellement ambigus tels que « Il1O0 ».

    Nom : IMG_Change_Username.png
Affichages : 8025
Taille : 61,3 Ko

    7.Permettre aux utilisateurs de changer leur nom d’utilisateur

    Dans un bon système de gestion de comptes, les utilisateurs devraient pouvoir changer de nom d’utilisateur à n’importe quel moment sans pour autant être obligé de créer un nouveau compte. Pour cela, le système devrait autoriser l’usage d’alias. Bien entendu, certaines entreprises souhaiteront limiter cet usage afin que cela n’entraine pas des effets pervers. Ainsi, les utilisateurs peuvent être autorisés par exemple à changer leur nom d’utilisateur seulement une fois par an ou encore être empêchés d’afficher autre chose que le nom d’utilisateur principal. Le choix des règles de métier est libre, mais devrait permettre à l’utilisateur d’effectuer des changements dans le temps s’il le souhaite, rappelle Maddox.

    8.Les utilisateurs devraient pouvoir supprimer leurs comptes

    À bien des égards, de nombreux systèmes aujourd’hui ne fournissent pas de moyens à l’utilisateur pour fermer son compte de manière permanente et supprimer les données attachées à ce compte. Bien que de nombreuses raisons peuvent être avancées comme l’obligation de conserver les données, lorsqu’il ne s’agit pas de violation d’une loi, les développeurs devraient intégrer l’option de suppression de compte. Dans certains cas, permettre à l’utilisateur de programmer la suppression automatique future de son compte peut s’avérer salutaire comme lorsque le compte d’un utilisateur a été piraté par un tiers malveillant.

    9.Limiter la durée de la session ouverte dans certains cas

    Pour l’architecte, un des aspects de la sécurité et de l’authentification souvent négligé est la longueur de la session. Bien que l’utilisateur puisse décider de garder sa session ouverte indéfiniment, Maddox souligne qu’il y a des seuils après lesquels le système d’authentification doit demander un mot de passe, un deuxième facteur ou une autre vérification d’utilisateur. Aussi, même s’il n’y a pas de normes précises en la matière, l’architecte recommande comme cela se fait chez Google, de considérer le temps d’inactivité d’un utilisateur pour l’amener à se réauthentifier.

    En plus du temps d’inactivité, l’architecte suggère également de vérifier la modification de certains éléments comme la réinitialisation de mots de passe, la modification de son profil et si c’est le cas, de demander une authentification ou un deuxième facteur. En outre, après s’être réauthentifié, l’utilisateur devrait être en mesure de retrouver en l’état les activités de sa dernière session quand elle était ouverte.

    10.Utiliser la vérification en deux étapes

    Pour éviter des détournements de comptes d’utilisateurs, Maddox recommande d’utiliser le système de double authentification (2 factor authentification abrégé 2FA) le plus sécurisé. Le développeur devrait également utiliser les fournisseurs d’identité tiers et les associer à leur double authentification, ce qui aurait pour conséquence de renforcer la sécurité de son système sans trop d’efforts et de moyens financiers.

    Nom : 2FA.jpg
Affichages : 7425
Taille : 37,2 Ko

    11.Rendre les identifiants des utilisateurs insensibles à la casse

    Pour faciliter la tâche aux utilisateurs, le système de gestion de comptes d’utilisateurs conçu doit être insensible à la casse. Toutefois, cette opération devrait se faire dans le système et non dans l’interface utilisateur, ce qui limiterait les possibilités des utilisateurs. Si le système de gestion des authentifications est suffisamment robuste, il devrait pouvoir ramener les noms d’utilisateurs ou email entrés par inadvertance en majuscules vers les lettres minuscules.

    12.Bâtir un système d’authentification sécurisé

    Pour construire un système d’authentification sécurisé, il faut prendre en compte plusieurs aspects comme la réinitialisation du mot de passe, la journalisation des activités du compte, le taux de limitation des tentatives de connexion, le verrouillage des comptes après trop de tentatives infructueuses et l’authentification à deux facteurs pour les appareils non reconnus ou les comptes inactifs depuis longtemps. En raison de toutes ces contraintes, Maddox recommande aux développeurs d’élargir leur champ de connaissance dans ce domaine.

    Source : Google Cloud Platform

    Et vous ?

    Quel est votre avis sur les recommandations faites par l’architecte pour implémenter un bon système d’authentification ? Vous semblent-elles suffisantes ?

    Selon vous, quelles autres recommandations peut-on faire pour implémenter un bon système d’authentification ?

    Voir aussi

    Google renforce la sécurité de son système d’authentification OAuth pour prévenir la survenue d’attaques de phishing
    Un chercheur en sécurité explique comment il a contourné le système d’authentification à deux facteurs de PayPal, la faille a été corrigée
    Authentification à deux facteurs : un système basé sur des photos d’objets ordinaires est à l’étude, l’application de test est disponible sur Android
    Apple va adopter la méthode d’authentification à deux facteurs sur iOS 11 et macOS High Sierra pour plus de sécurité et de simplicité
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé Avatar de fenkys
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2007
    Messages
    375
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 375
    Points : 1 046
    Points
    1 046

    Par défaut

    Personnellement, il n'y a rien qui me hérisse d'avantage que ces sites qui te demandent ton adresse email comme login. Pour certains sites ou je me connecte rarement, je dois avant toute chose retrouver l'adresse mail utilisée pour sa création. C'est pénible. Sans compter que beaucoup de ces serveurs de mail n'existent plus à ce jour.

  3. #3
    Membre confirmé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2011
    Messages
    150
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 26
    Localisation : France, Gard (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2011
    Messages : 150
    Points : 500
    Points
    500

    Par défaut

    Citation Envoyé par fenkys Voir le message
    Personnellement, il n'y a rien qui me hérisse d'avantage que ces sites qui te demandent ton adresse email comme login.
    Pour moi, sa serait plutôt les sites de l'état français.
    -Nom d'utilisateur prédéfinit,
    -mot de passe , soit impossible à changer, soit qui n'accepte pas les caractères spéciaux.

    Bref, obligation de noter son nom d'utilisateur et mot de passe sur un papier...

  4. #4
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    7 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 7 191
    Points : 18 893
    Points
    18 893

    Par défaut

    Personnellement, je fuis comme la peste les fournisseurs tiers d'identités, qui sont pour moi une faille de sécurité.

    Quelque soit le niveau de protection en terme de vie privé offerte, le fournisseur aura au minimum connaissance du compte, de l'adresse IP et de l'heure de connexion, ce qui n'est déjà pas rien, et qui ne devrait pas être connu par ce fournisseur.

    Et je ne parle même pas des dangers de collusion entre différents fournisseurs de services si les mesures appropriées n'ont pas été prises par le fournisseurs d'identité, ou tout simplement de placer une confiance aveugle envers le fournisseur d'identité.


    Les fédérations d'identités ont du sens dans le cadre de comptes liés, e.g. à une même activité professionnelle ou étudiante, mais en aucun cas dans un cadre "global". Sinon, la gestion d'identité doit se faire en local, un cas trivial est l'utilisation d'un gestionnaire de mot de passe.



    De même pour les authentification à deux facteurs... on a vu ce que cela donnait de donner son numéro de téléphone à certains sites...
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 255
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 255
    Points : 1 009
    Points
    1 009

    Par défaut

    Bonjour ,

    Il faut distinguer 3 types de sites :

    * tous ce qui est lié à l'état ou la collectivité dans lequel vous habiter : impot , justice , protection sociale obligatoire (sécu) . C'est des sites de confiances auxquels personnes ne peut échapper. La sécurité sur ce type de site est l'une des plus importantes . Après je dis pas que c'est sécurisé à 100 % ... Impossible le risque de faille existe .

    * tous ce qui est site vital : télécoms , banque , assurance , mutuelle , énergie . C'est des sites auxquels on est obliger d’adhérer pour bénéficier du service associé. Sur ce type de site le risque de faille existe . Il y a des bon et des mauvais élèves. En terme de sécurité il reste beaucoup de chemin à parcourir ...

    * tous ce qui est non essentiel : loisir , culture , distribution , média , divertissement , jeux , politique , hobby : c'est tous ce qui est à mon sens le plus faible et ou il est vivement conceillé de changer régulièrement le mot de passe.

    Le but :

    * retenir 3/4 mots de passes pour des sites vitaux ou lié à l'institution étatique . Le reste les sites non essentiel il n'est même plus utile de retenir le mot de passe. Faites comme moi , "j'ai oublié mon mot de passe" à chaque connexion ... ainsi les mots de passe du style "@mp*kio_jhg.156" , puis "toto7575*" , change à chaque fois ...

    On fait bien 1 achat = 1 numéro de carte bancaire virtuel , pourquoi pas 1 achat = 1 token ou un mdp valable genre 1 , 2 ou 3 h ... Dans le même acabit quand on demande un double authentification , il est plus sur de passer par un ligne fixe qu'une ligne mobile . La raison : une ligne fixe est géographique ! Un numéro de téléphone lillois validant un achat à destination du nord de la France sera plus sur qu'une numéro de mobile localisé à Marseille et validant un achat pour paris ou pour brest ...

    Puis si vous avez besoin d'une portabilité de votre numéro de ligne fixe , cela existe et vous pouvez faire arriver votre ligne fixe ... via un routage sur votre mobile ! Si vous avez besoin de validé un achat pendant que vous êtes en vacances ou bien à l'étranger ...

    Une norme de sécurité simple , pourquoi une banque vous demande toujours un numéro de ligne fixe ? En cas de pepin vous pouvez être "géolocalisable" .

  6. #6
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 512
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 512
    Points : 28 103
    Points
    28 103

    Par défaut

    Hello,

    C'est drôle, mais il bosse chez Google, et son entreprise ne répond pas aux règles 2, 4 et 8....

    Bon, la 2, il faut aussi penser qu'offrir cette authentification permet à l'authentificateur de savoir qui va où quand et comment, ce qui est la principale (si ce n'est unique) source de revenue des 3 entreprises citées...
    Modérateur "C", "Informatique Générale & Hardware" et "Unix"
    Les règles du forum

  7. #7
    Membre éclairé
    Homme Profil pro
    Assistant aux utilisateurs
    Inscrit en
    mars 2017
    Messages
    61
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Autre

    Informations professionnelles :
    Activité : Assistant aux utilisateurs

    Informations forums :
    Inscription : mars 2017
    Messages : 61
    Points : 748
    Points
    748

    Par défaut

    Selon vous, quelles autres recommandations peut-on faire pour implémenter un bon système d’authentification ?
    13. Qu'on ne me demande pas le nom de mon chien, de mon ours en peluche ou le nom de ma maîtresse quand j'étais enfant pour récupérer mon compte. Ces informations sont tout sauf confidentielles

    14. Qu'on ne m'impose pas un clavier "virtuel" pour taper mon mot de passe. C'est limitant et ça ne protège contre quasiment rien

    15. Qu'on me laisse changer mon mot de passe quand je le souhaite, et pas dans l'urgence parce que je me suis connecté X fois. Tout le monde n'a pas de gestionnaire de mot de passe, ni l'imagination nécessaire pour produire un mot de passe efficace en 2 minutes.

    l’architecte souligne sur ce premier point que si vous êtes à même de produire le mot de passe d’un utilisateur en texte clair après qu’il été créé, cela suppose qu’il y a certainement un problème avec votre implémentation.
    Sur ce point, l'origine est le plus souvent fonctionnelle, et faire entendre les conséquences possibles est très compliqué.

  8. #8
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    7 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 7 191
    Points : 18 893
    Points
    18 893

    Par défaut

    Citation Envoyé par John Bournet Voir le message
    14. Qu'on ne m'impose pas un clavier "virtuel" pour taper mon mot de passe. C'est limitant et ça ne protège contre quasiment rien
    Cela protège contre les attaques par canaux cachés.
    Par exemple, il est possible, sous certaines conditions, de récupérer ce qu'on tape au clavier via le son.

    Mais oui, c'est limitant, et encore plus quand on a un gestionnaire de mot de passe qui pourrait remplir tout cela.

    Citation Envoyé par John Bournet Voir le message
    15. Qu'on me laisse changer mon mot de passe quand je le souhaite, et pas dans l'urgence parce que je me suis connecté X fois. Tout le monde n'a pas de gestionnaire de mot de passe, ni l'imagination nécessaire pour produire un mot de passe efficace en 2 minutes.
    Pourquoi ne pas en utiliser un ?
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

  9. #9
    Membre émérite Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 898
    Points : 2 994
    Points
    2 994

    Par défaut

    Pour le 4, on peut imaginer une signature numérique basée sur le matériel lié à l'utilisateur : pour cette raison, j'ai aussi voté autre.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  10. #10
    Membre éprouvé Avatar de fenkys
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    octobre 2007
    Messages
    375
    Détails du profil
    Informations personnelles :
    Âge : 51
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : octobre 2007
    Messages : 375
    Points : 1 046
    Points
    1 046

    Par défaut

    Citation Envoyé par John Bournet Voir le message
    13. Qu'on ne me demande pas le nom de mon chien, de mon ours en peluche ou le nom de ma maîtresse quand j'étais enfant pour récupérer mon compte. Ces informations sont tout sauf confidentielles
    Mais rien ne t'oblige à répondre à la question avec une réponse exacte. Tu peux très bien mettre le nom de cette actrice qui te plaisait beaucoup quand tu avais 15 ans, voire un code secret ou une phrase.

    [QUOTE}14. Qu'on ne m'impose pas un clavier "virtuel" pour taper mon mot de passe. C'est limitant et ça ne protège contre quasiment rien[/QUOTE]

    Tout à fait d'accord.

    Qu'on me laisse changer mon mot de passe quand je le souhaite, et pas dans l'urgence parce que je me suis connecté X fois. Tout le monde n'a pas de gestionnaire de mot de passe, ni l'imagination nécessaire pour produire un mot de passe efficace en 2 minutes.
    En ce qui me concerne, ce genre de fonctionnalité correspond à utiliser "j"ai oublié mon mot de passe" à la connexion suivante.

  11. #11
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    octobre 2014
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2014
    Messages : 54
    Points : 95
    Points
    95

    Par défaut

    Salut, j'aurais aimé savoir quels seraient vos avis sur une autentification via un système de blockchain du type bitcoin ...

  12. #12
    Expert éminent sénior

    Avatar de Neckara
    Homme Profil pro
    Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Inscrit en
    décembre 2011
    Messages
    7 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 25
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Doctorant sécurité informatique — Diplômé master Droit/Économie/Gestion
    Secteur : Enseignement

    Informations forums :
    Inscription : décembre 2011
    Messages : 7 191
    Points : 18 893
    Points
    18 893

    Par défaut

    Citation Envoyé par oooopppp Voir le message
    Salut, j'aurais aimé savoir quels seraient vos avis sur une autentification via un système de blockchain du type bitcoin ...
    Très bien, mais uniquement pour l'IoT avec une blockchain quantique, et une évolution des templates par deep learning.


    Plus sérieusement, tu veux dire une authentification par système de clé asymétrique, comme cela existe déjà ?
    C'est en effet bien plus sécurisé qu'un mot de passe, mais il faut un gestionnaire pour stocker la clé privée.

    Avec une clé publique stockée dans la blockchain ?
    Dans un sens c'est intéressant car plus difficile à modifier qu'un certificat où on place une confiance aveugle envers les CA. D'un autre côté, la blockchain Bitcoin est un peu "lourde".

    Avec des données stockées dans la blockchain ?
    Personnellement je ne vois pas l'intérêt immédiat, à part pour horodater un élément et empêcher sa suppression/modification.
    "Parce que le diable est dans les détails, une vision sans nuance ne peut prétendre à la compréhension du monde."

    Mon ancienne page perso : https://neckara.developpez.com/

Discussions similaires

  1. [MCD] Quelles sont les règles d'or pour concevoir un bon MCD?
    Par wafiwafi dans le forum Schéma
    Réponses: 61
    Dernier message: 25/09/2009, 17h42
  2. Réponses: 17
    Dernier message: 04/07/2008, 12h20
  3. [CSS] [FAQ] Quelles sont les règles de priorités entre CSS?
    Par BnA dans le forum Contribuez
    Réponses: 0
    Dernier message: 05/12/2007, 10h59
  4. Quelles sont les compétences à avoir pour devenir un bon graphiste ?
    Par sidahmed dans le forum Webdesign & Ergonomie
    Réponses: 6
    Dernier message: 05/10/2007, 11h31

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo