cg a raison : ce n'est pas une passkey. Une passkey repose sur de la crypto asymétrique liée à un authenticator ; là c'est un secret connu de l'utilisateur, dérivé côté navigateur puis stocké hashé côté serveur (Argon2id).
Une passkey, c'est de l'authentification et pour ça elle est plus solide que ce que je fais (asymétrique, anti-phishing). SelfRecover ne cherche pas à la remplacer : il répond à la récupération quand tu as tout perdu, mot de passe et/ou device, sans repasser par un mail, un SMS ou un cloud.
Et c'est là que la passkey coince pour ce cas précis : si tu perds ton authenticator sans sauvegarde, tu es dehors. Et la sauvegarde des passkeys repasse en général par un cloud, soit exactement la dépendance à un tiers que je veux éviter.
Donc oui, c'est un /etc/shadow assumé, mais à un autre étage : pas l'authentification du quotidien, le filet de récupération sans tiers.
Aujourd'hui le code est dispo sur Github. Il est utilisé avec d'autres modules sur mon serveur LNMP perso je te mets les adresses si ça t'intéresse de voir par toi même.
[^] # Re: passkey ?
Posté par pierroons (site web personnel) . En réponse à la dépêche SelfRecover — protocole AGPL de récupération de compte sans email. Évalué à 0 (+0/-0).
Salut,
cg a raison : ce n'est pas une passkey. Une passkey repose sur de la crypto asymétrique liée à un authenticator ; là c'est un secret connu de l'utilisateur, dérivé côté navigateur puis stocké hashé côté serveur (Argon2id).
Une passkey, c'est de l'authentification et pour ça elle est plus solide que ce que je fais (asymétrique, anti-phishing). SelfRecover ne cherche pas à la remplacer : il répond à la récupération quand tu as tout perdu, mot de passe et/ou device, sans repasser par un mail, un SMS ou un cloud.
Et c'est là que la passkey coince pour ce cas précis : si tu perds ton authenticator sans sauvegarde, tu es dehors. Et la sauvegarde des passkeys repasse en général par un cloud, soit exactement la dépendance à un tiers que je veux éviter.
Donc oui, c'est un /etc/shadow assumé, mais à un autre étage : pas l'authentification du quotidien, le filet de récupération sans tiers.
Aujourd'hui le code est dispo sur Github. Il est utilisé avec d'autres modules sur mon serveur LNMP perso je te mets les adresses si ça t'intéresse de voir par toi même.
Codes Github :
SelfRecover : https://github.com/Pierroons/my-self/tree/main/bi-self/selfrecover
SelfRecover-LUKS : https://github.com/Pierroons/my-self/tree/main/self-security/selfrecover-luks
SelfDataGuard: https://github.com/Pierroons/my-self/tree/main/self-security/selfdataguard
J'ai aussi fait faire un pentest, sur mon serveur, à Opus que tu peux retrouver sur cette page : https://my-self.fr/pentest.html
Pour le l3 j'ai aussi fait une page web afin de pas tartiner le msg : https://bi-self.my-self.fr/selfrecover/l3.html
Merci.