• [^] # Re: Autre possibilité ?

    Posté par . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 10.

    Je me doute qu'il y a pas de chances que ce soit implémenté de cette façon, mais je me demande qu'elle serait alors la sécurité de cette solution. Des idées ?

    Les questions secrètes ça devrait être interdit (un peu comme MD5, et non, pas de "oui mais"). En plus d'avoir une entropie de merde et reposer sur des informations publiques, ça pose des problèmes d'encodage, de majuscules, etc. Du coup faut normaliser, du coup encore moins d'entropie, etc.
    Cela posé, le problème de ta solution, c'est que tout repose sur ta question secrète, sécurité du maillon le plus faible, toussa. Si qqn met la main sur la base, c'est encore plus facile de bruteforcer le mot de passe chiffré car l'entropie de ce qui a servi à chiffrer est vraiment pourrave. Par exemple si la question est la ville de naissance de quelqu'un, tu as une très grande chance que ce soit une des 30000 communes françaises. Si la question est une date de naissance, tu as, à la grosse, 36525 possibilités si c'est tapé sous la forme xx/yy/zzzz.
    Du coup, on peut envisager un autre mot de passe dans les réponses aux questions secrètes :-).