Sur « réutiliser le même partout = pire » : c'est justement ce que le domain-binding évite. Le même mot « voiture » produit une clé différente sur chaque site (HMAC avec le domaine), donc le réutiliser n'a pas les conséquences d'un mot de passe réutilisé
Ben si, c'est pareil. Si je détermine que sur plop.fr ta phrase de passe de récup est "tartine de pain sans gluten grillée", et que tu réutilises la même sur coin.com, ben je vais pouvoir t'usurper ton compte sur les deux sites, vu que le domaine est connu. Le fait que le condensat soit complexe à casser ne règle pas la question de la réutilisation d'un mot de passe, qu'il soit fort ou faible.
[^] # Re: L'aspect standardisation est intéressant
Posté par cg . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 6 (+4/-0).
Ben si, c'est pareil. Si je détermine que sur
plop.frta phrase de passe de récup est "tartine de pain sans gluten grillée", et que tu réutilises la même surcoin.com, ben je vais pouvoir t'usurper ton compte sur les deux sites, vu que le domaine est connu. Le fait que le condensat soit complexe à casser ne règle pas la question de la réutilisation d'un mot de passe, qu'il soit fort ou faible.Où alors il me manque un ingrédient ?