Bon, j'ai un peu de retard, mais quand même (merci au résumé des meilleurs articles qui ma permit de ne pas louper les derniers commentaires)
Ça demande un peu de réflexion et probablement de l'ajustement mais l'idée est d'avoir un identifiant visuel qui permettrait aux applications autorisées de s’authentifier auprès des utilisateurs.
À la création d'un compte, l'utilisateur choisi un "certificat visuel" (plus ou moins en même temps qu'il renseigne son mdp). Ce certificat visuel (CV) serait par exemple une image de 100x100 en RGB, ça peut être une photo, un schéma dessiné à la souris ou un mot stocké sous forme d'image. Le CV est stocké de manière sécurisé et accessible par le compositeur seulement. Lorsqu'une application autorisé veut demander un mdp à l'utilisateur, elle doit demander ce CV et l'afficher à l'utilisateur. L'utilisateur à la garantie que c'est bien une appli autorisée car il voit le CV qu'il a choisi.
Une appli mal intentionnée ne peut pas accéder au CV et ne peut donc pas s'authentifier auprès de l'utilisateur. Ça reste à l'utilisateur de vérifier qu'il voit son CV avant de rentré le mdp, mais ça reste une vérification pas trop contraignante, facile et rapide à effectuer.
[^] # Re: Boite de dialogue pour les mots de passe
Posté par GaMa (site web personnel) . En réponse au journal Compositeurs Wayland - Pourquoi et comment gérer les clients privilégiés?. Évalué à 7.
Bon, j'ai un peu de retard, mais quand même (merci au résumé des meilleurs articles qui ma permit de ne pas louper les derniers commentaires)
Ça demande un peu de réflexion et probablement de l'ajustement mais l'idée est d'avoir un identifiant visuel qui permettrait aux applications autorisées de s’authentifier auprès des utilisateurs.
À la création d'un compte, l'utilisateur choisi un "certificat visuel" (plus ou moins en même temps qu'il renseigne son mdp). Ce certificat visuel (CV) serait par exemple une image de 100x100 en RGB, ça peut être une photo, un schéma dessiné à la souris ou un mot stocké sous forme d'image. Le CV est stocké de manière sécurisé et accessible par le compositeur seulement. Lorsqu'une application autorisé veut demander un mdp à l'utilisateur, elle doit demander ce CV et l'afficher à l'utilisateur. L'utilisateur à la garantie que c'est bien une appli autorisée car il voit le CV qu'il a choisi.
Une appli mal intentionnée ne peut pas accéder au CV et ne peut donc pas s'authentifier auprès de l'utilisateur. Ça reste à l'utilisateur de vérifier qu'il voit son CV avant de rentré le mdp, mais ça reste une vérification pas trop contraignante, facile et rapide à effectuer.
Matthieu Gautier|irc:starmad