• [^] # Re: Lapin compris.

    Posté par (site web personnel) . En réponse au journal Que répondre à ça ?. Évalué à 1.

    Donc avec un certificat en carton, on est sûr que notre mot de passe ne pourra pas être lu par quelqu'un d'autre que celui qui envoi le certificat, mais on ne peut s'assurer de l'identité de la personne qui reçoit le mot de passe.

    Dans le cas d'un mot de passe, c'est un secret partagé entre l'utilisateur et le site. Quand on le communique, l'objectif est qu'il ne soit intercepté par personne d'autre que le site, donc il faut s'assurer d'[au moins] 2 conditions :

    • que personne ne va pouvoir voir le mot de passe pendant la transmission (chiffrement)
    • que la personne avec qui on communique est bien la bonne (authentification)

    Avec un certificat en carton, on a juste le premier point. Donc dans le cadre de la transmission d'un mot de passe, le certificat en carton n'est pas suffisant.

    Je ne connais pas d'ailleurs de cas d'utilisation où seul le chiffrement est utile, et l'on se moque de savoir à qui on envoi les données. Mais éclairez moi, je suis curieux d'en connaître un !