Effectivement un très long texte alors que la base du protocole n'est pas clairement expliquée.
Une fois le calcul est "HMAC-SHA256(secret, domaine)" puis il devient "HMAC-SHA256(mot, domaine + sel)" dans une réponse sans justifier pourquoi le sel a été ajouté. L'IA a dû trouver que ça faisait bien d'ajouter du sel.
La formule de calcul du mot de récupération n'a aucun intérêt puisque le calcul n'est fait que côté client. Le serveur vérifiera juste que le secret qu'il reçoit correspond à celui que l'utilisateur a fourni à l'inscription.
Le serveur doit stocker 2 secrets au lieu d'un seul. L'utilisateur doit se souvenir de 2 secrets au lieu d'un seul.
J'aime beaucoup aussi "Le secret n'est donc pas dans le mot de passe, il est dans le moyen de le retrouver, sans e-mail ni tiers.". Le mot de passe n'est même plus secret ?
Dans le cas de récupération du niveau 3 nous avons "Identifiant public" et "Username". Les deux sont publiques et donnent déjà 50 points sur 100. À 60 points on a accès à la réinitialisation automatique.
Il manque juste les "Bonus passifs : IP connue (+5), fingerprint connu (+5)."
Donc n'importe qui, depuis le navigateur habituel de l'utilisateur (IP connu + fingerprint connu) a un total de 60 points et peut fait un reset du mot de passe.
C'est peut-être ça la vrai innovation ? :-)
[^] # Re: Hein
Posté par dudule42 . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 8 (+7/-0).
Effectivement un très long texte alors que la base du protocole n'est pas clairement expliquée.
Une fois le calcul est "HMAC-SHA256(secret, domaine)" puis il devient "HMAC-SHA256(mot, domaine + sel)" dans une réponse sans justifier pourquoi le sel a été ajouté. L'IA a dû trouver que ça faisait bien d'ajouter du sel.
La formule de calcul du mot de récupération n'a aucun intérêt puisque le calcul n'est fait que côté client. Le serveur vérifiera juste que le secret qu'il reçoit correspond à celui que l'utilisateur a fourni à l'inscription.
Le serveur doit stocker 2 secrets au lieu d'un seul. L'utilisateur doit se souvenir de 2 secrets au lieu d'un seul.
J'aime beaucoup aussi "Le secret n'est donc pas dans le mot de passe, il est dans le moyen de le retrouver, sans e-mail ni tiers.". Le mot de passe n'est même plus secret ?
Dans le cas de récupération du niveau 3 nous avons "Identifiant public" et "Username". Les deux sont publiques et donnent déjà 50 points sur 100. À 60 points on a accès à la réinitialisation automatique.
Il manque juste les "Bonus passifs : IP connue (+5), fingerprint connu (+5)."
Donc n'importe qui, depuis le navigateur habituel de l'utilisateur (IP connu + fingerprint connu) a un total de 60 points et peut fait un reset du mot de passe.
C'est peut-être ça la vrai innovation ? :-)