• # A propos du token

    Posté par . En réponse au journal Authentifiez-vous sans mot de passe grâce à XMPP, 10 ans plus tard. Évalué à 1.

    D'un point de vue utilisation, on reçoit un dialogue d'authentification classique (généré par le navigateur web). C'est pas idéal, parce que ce dialogue demande un login et un mot de passe, alors qu'il faut entrer un JID et un token unique (et certainement pas son mot de passe XMPP). Je réfléchis à comment faire pour remplacer ce dialogue par une page web plus sympathique avec des explications claires (je pense que c'est faisable).

    Ca me fait penser à https://linuxfr.org/users/glandos/journaux/bpce-et-les-paiements-avec-authentification-a-deux-facteurs ; peu importe que ce soit sûr techniquement, l'éducation à la sécurité compte également. Ne pas oublier de toute façon que trop de gens ne savent pas vraiment lire.

    Et si j'ai bien compris, ça demande à l'utilisateur de vérifier lui-même (en général visuellement) que les tokens correspondent.

    Je ne sais pas trop dans quelle mesure ce token est utile en terme de sécurité. En supposant que ce soit le cas, ne peut-on pas faire l'inverse :
    1. un dialogue qui demande d'entrer uniquement un JID ;
    2. l'utilisation reçoit l'évènement XMPP avec le contexte (URL du site) et un token généré par le site (ça peut être 6 chiffres comme partout ailleurs) ;
    3. le site demande d'enter le token reçu pour terminer l'authentification.