Sur le reset automatique au niveau 3 : tu as raison, des signaux non-secrets ne devraient pas suffire. La logique correcte, c'est que sans secret fort vérifié, la décision revient à un humain, le scoring sert alors à l'éclairer, pas à ouvrir automatiquement. C'est la correction que j'apporte.
Sur le calcul côté client : il a quand même deux intérêts, le mot brut ne quitte jamais le navigateur (une fuite serveur ne le révèle pas), et la dérivation est liée au domaine donc non réutilisable ailleurs. Mais tu as raison de dire que la dépêche introduit le sel sans l'expliquer et que la formule varie d'une section à l'autre : à clarifier, tout comme la phrase « le secret n'est pas dans le mot de passe », mal tournée. Le texte est trop long et pas assez clair sur la base, je le reprends.
[^] # Re: Hein
Posté par pierroons (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à -3 (+1/-4).
Sur le reset automatique au niveau 3 : tu as raison, des signaux non-secrets ne devraient pas suffire. La logique correcte, c'est que sans secret fort vérifié, la décision revient à un humain, le scoring sert alors à l'éclairer, pas à ouvrir automatiquement. C'est la correction que j'apporte.
Sur le calcul côté client : il a quand même deux intérêts, le mot brut ne quitte jamais le navigateur (une fuite serveur ne le révèle pas), et la dérivation est liée au domaine donc non réutilisable ailleurs. Mais tu as raison de dire que la dépêche introduit le sel sans l'expliquer et que la formule varie d'une section à l'autre : à clarifier, tout comme la phrase « le secret n'est pas dans le mot de passe », mal tournée. Le texte est trop long et pas assez clair sur la base, je le reprends.