• # Les mdp chiffrés ne permettent pas les protocoles d'authentification interactive classiques

    Posté par . En réponse au journal Freenaute, ton mot de passe d'abonné est stocké en clair chez Free. Évalué à 10.

    À chaque fois c'est le même débat qui tourne en boucle, sans jamais personne qui n'ait réellement eu entre les mains un tel système à gérer...

    Avoir des bases de mot de passe chiffrées empêche toute authentification interactive « classique », qui permet de ne pas faire circuler le mot de passe sur le réseau, genre CHAP (rappelez-vous que Free à la base offrait des accès RTC où on s'authentifier avec du CHAP sur PPP...). Idem pour toute authentification interactive incluse dans EAP, pour reprendre un protocole un peu plus moderne. C'est également, je pense, une raison pour laquelle les gens semblent aimer le LDAP qui impose la méthode d'authentification avec une méthode de hashage fixée, et ne permet pas l'authentification interactive comme le permettrait RADIUS, qu'on mettrait normalement devant un LDAP.

    Certes, aujourd'hui pour palier à la non-confidentialité des protocoles de vérification de mot de passe faisant passer le secret en clair comme PAP et pratiquement toutes les authentifications web « modernes », on ajoute du TLS en dessous et « tout va bien » ; c'est valable aussi bien pour le web que pour tout un paquet d'autres protocoles (comme EAP-TLS pour celui cité ci-dessus). Mais ces protocoles d'authentification sans gestion de la confidentialité étaient à l'origine pas très bien vus, et tous basés sur le principe de partage de secret identique, sans challenge.

    Sans parler du fait qu'il existe des protocoles modernes (d'ou mon qualificatif de « classique » utilisé plus haut, par opposition) basés sur les mot de passe fait expressément pour ne pas avoir de base en clair, comme SCRAM https://en.wikipedia.org/wiki/Salted_Challenge_Response_Authentication_Mechanism mais que tout le monde a l'air de s'en foutre.

    Et bien sûr, tout cela en évitant l'éléphant dans la pièce : pourquoi a-t-on toujours autant d'histoires de mot de passes, avec une croissance et une complexité grandissante dans leur gestion, quand depuis des décennies on annonce l'avènement de l'authentification par cryptographie asymétrique ?!