• [^] # Re: L'identification à divulgation nulle de connaissance (Zero-Knowledge

    Posté par (site web personnel) . En réponse au journal Jouage avec les mots de passe. Évalué à 2.

    Pas mal, c'est vraiment joli, comme raisonnement, je n'y avais pas pensé. J'y vois seulement un souci: tu ne peux pas choisir toi même ton mdp, c'est à ta banque de le faire...

    Dans le cas de la banque donnée en exemple (bon OK, eux ne donnent qu'un mdp de 6 caractères) on peux choisir son propre mdp, donc à mon avis la solution que tu proposes ne peut pas convenir...

    En plus, à partir du moment où la banque connait l'algo pour recréer les 15 caractères du mdp, il n'y a pas besoin de faire d'autres manipulations.

    Je pense que ton idée est bonne, mais je ne suis pas sur que ça soit qui soit utilisé dans le cas présent. A mon avis, pour utiliser ce que tu proposes, il faudrait poser plusieur fois des questions, ce qui n'est pas le cas ici.

    A quoi ça sert de ne fournir qu'un bout du mdp?
    Une attaque par force brute sera beaucoup plus complexe.

    Pour l'exemple, je ne me place plus dans le cas précis de la banque citée, mais dans l'optique de quelqu'un qui veut implémenter ce système, de la bonne façon, et afin qu'il soit réellement solide.

    Si on suppose qu'un bon mot de passe, en plus d'autres considérations, fait 8 caractères, rien ne nous empêche de créer un mot de passe de 42 caractères, et d'en demander 8 aléatoirement à chaque fois. Du coup, ce qui est demandé changeant à chaque fois, la force brute n'y pourra plus grand chose.