Beaucoup de sites proposant une inscription et une authentification en
ligne utilisent ce qu'ils appellent des "questions de sécurité".
Les questions proposées ou imposées sont du genre "quel est le nom de
jeune fille de votre mère" ou bien encore "où est né votre père".
Ce concept me parait justement servir l'inverse du but recherché. La
réponse à ces questions est extrêmement facile à trouver pour mon
entourage (famille, connaissances proches) et pas très difficile pour le
reste du monde.
Je m'étonne qu'un tel système soit autant utilisé, et même obligatoire
sur certains sites (une chaine aléatoire de 25 caractères résoud le
dilemne dans ce cas).
De plus, je pense que forcer l'utilisation de secrets partagés aussi
faibles, c'est faire une très mauvaise éducation des utilisateurs.
Suis-je le seul à m'étonner de cela?
Pourquoi autant de sites font-elles appel à cette technique!?
On Sun, 20 Nov 2005 21:05:37 +0000, Fabien LE LEZ wrote:
(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas). Le problème de cette chaine de caractères c'est comment tu t'en souviens 3
ans après
Généralement, je la stocke en même temps que le mot de passe. Ou bien, je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de passe.
Une des solutions possibles est d'utiliser un "Master Password", de générer un hash de ce mot de passe et d'un identifiant unique du site en question, et d'utiliser ce hash comme mot de passe :
On Sun, 20 Nov 2005 21:05:37 +0000, Fabien LE LEZ wrote:
(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas).
Le problème de cette chaine de caractères c'est comment tu t'en souviens 3
ans après
Généralement, je la stocke en même temps que le mot de passe. Ou bien,
je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de
passe.
Une des solutions possibles est d'utiliser un "Master Password", de
générer un hash de ce mot de passe et d'un identifiant unique du site
en question, et d'utiliser ce hash comme mot de passe :
On Sun, 20 Nov 2005 21:05:37 +0000, Fabien LE LEZ wrote:
(une chaine aléatoire de 25 caractères résoud le dilemne dans ce cas). Le problème de cette chaine de caractères c'est comment tu t'en souviens 3
ans après
Généralement, je la stocke en même temps que le mot de passe. Ou bien, je ne la stocke pas du tout, si elle ne sert qu'à retrouver le mot de passe.
Une des solutions possibles est d'utiliser un "Master Password", de générer un hash de ce mot de passe et d'un identifiant unique du site en question, et d'utiliser ce hash comme mot de passe :
