• [^] # Re: Keycloak

    Posté par (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 4 (+2/-0).

    Mais du coup, en tant qu'attaquant, si je sais que mon voisin a un fils qui s'appelle Bob et que je connais son identifiant sur un site web qu'on fréquente tous les deux, est-ce que je ne peux pas simplement tenter le coup et monter jusqu'à la phase de récupération par mot simple?

    Évidemment, ça reste toujours mieux que la récupération par "question de sécurité" qui l'a toujours fait halluciner, avec des questions du genre "quel est le nom de jeune fille de votre mère ?" ou autre information extrêmement facile à trouver dans le cas d'une attaque ciblée.