• [^] # Re: certificat...

    Posté par . En réponse au message Sécurisation d'un mot de passe enregistré. Évalué à 1.

    Pour se connecter au web service, il vaut effectivement mieux utiliser un certificat qu'un mot de passe. Mais mot de passe ou clef privée, il veut stocker ces informations sur la machine de façon sûre.
    En fait, la situation est un peu cuite: il se retrouve dans la même situation que le mythe des DRM a vouloir protéger une information contre la volonté de l'administrateur de la machine (si celui-ci avait été d'accord, les droits sur le fichier du mot de passe auraient réglé le problème, trou de sécu mis à part).
    - tu veux authentifier l'utilisateur: utiliser le porte-feuille de mots de passe de l'utilisateur (donc c'est pas un démon qui démarre au boot)
    - tu veux authentifier la machine de l'utilisateur: un certificat propre à la machine, révocable. Tu peux utiliser la puce TPM de la machine.