Bonjou,
J'ai lu un tres bon cour developpez sur la sécurité et le vol de mot de passe.
J'aurai une question sur la technique du Grain De Sel (GDS), en particulier sur la partie GDS par utilisateur
Peut-on utiliser, en guise de GDS, le login de l'utilisateur ?
Je m'explique :
Dans cette technique on génere un GDS par utilisateur qu'on sauvegarde en base. On à donc l'avantage d'etre bien "protégé contre les attaques par dictionnaire car le hacker doit constituer un dictionnaire par membre, ce qui est fastidieux et décourageant.". Par contre cette technique à l'inconvénient de faire appelle a la base de donnée pour récupérer le GDS de l'utilisateur, une fois que celui ci à rentré son login.
Je propose donc d'utiliser le login de l'utilisateur en guise de GDS. On économise ainsi un appelle à la base de données, mais on garde l'avantage d'avoir un GDS par utilisateur.
J'ai peut-être raté un truc, ca me parait trop simple...
La seul inconvénient que je vois ça serait que le GDS est connu de tous. Mais c'est pas vraiment gênant car, comme cela est tres bien dit dans le cour, le GDS "transite à chaque connexion", donc le hacker le récuperera en même temps que le mot de passe crypté.
Merci pour vos réponses !
Partager