2023 : on utilise toujours un PASSWORD au lieu du CLÉ RSA PUBLIQUE
Expliquez-moi pourquoi pour créer et se connecter à un compte en 2k23 on doit toujours partager un mot de passe stocké dans une database qu'on ne contrôle pas, alors qu'on pourrait juste prouver notre authenticité à l'aide d'une paire de clé RSA (ou autre) publique/privée ? 
Le 30 juillet 2023 à 09:55:47 :
Parle français lohttps://image.noelshack.com/fichiers/2021/35/2/1630432176-chatmirroirstretch.png
Oublié la balise "QI > 100" désolé bro.
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.
Hein ? Mais ta clé privée est stockée sur ton PC, qu'est-ce que tu racontes. 
Et dans tous les cas c'est pas différents de l'utilisation d'un password manager.
Quand on touche pas le RSA on se connecte po ?
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.
bah pas forcement, il suffit que le site stocke ta clé publique puis à chaque connexion il t'envoie un "challenge", une chaine de caractères chiffré avec ta clé publique, et tu le renvoies déchiffré avec ta clé privé
Le 30 juillet 2023 à 09:59:32 :
je m'en sert seulement pour mon git
Parce que c'est intégré dans le protocole git vu que Linus Torvalds était un high IQ.
Le 30 juillet 2023 à 09:59:37 :
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.Hein ? Mais ta clé privée est stockée sur ton PC, qu'est-ce que tu racontes.
Et dans tous les cas c'est pas différents de l'utilisation d'un password manager.
Oui c'est l'inverse le serveur mondial qui garderait ton certifcat avec ta clé publique....pki tout ça...
Le 30 juillet 2023 à 10:01:27 :
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.bah pas forcement, il suffit que le site stocke ta clé publique puis à chaque connexion il t'envoie un "challenge", une chaine de caractères chiffré avec ta clé publique, et tu le renvoies déchiffré avec ta clé privé
C'est exactement ça que je dis.
Avec le modèle actuel tu fournis un mot de passe à une personne tiers dont tu ne sais rien (le site). Il peut en faire ce qu'il veut s'il est malicieux. Et s'il le stocke mal, il peut compromettre ta sécurité.
Alors que si on lui fournit juste notre clé publique (qu'il stocke en DB en tant que nouveau utilisateur), puisqu'il nous challenge au moment de la connexion, ça marcherait parfaitement.
Le 30 juillet 2023 à 10:03:08 DemainJeKen a écrit :
Le 30 juillet 2023 à 10:01:27 :
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.bah pas forcement, il suffit que le site stocke ta clé publique puis à chaque connexion il t'envoie un "challenge", une chaine de caractères chiffré avec ta clé publique, et tu le renvoies déchiffré avec ta clé privé
C'est exactement ça que je dis.
Avec le modèle actuel tu fournis un mot de passe à une personne tiers dont tu ne sais rien (le site). Il peut en faire ce qu'il veut s'il est malicieux. Et s'il le stocke mal, il peut compromettre ta sécurité.
Alors que si on lui fournit juste notre clé publique (qu'il stocke en DB en tant que nouveau utilisateur), puisqu'il nous challenge au moment de la connexion, ça marcherait parfaitement.
le soucis avec ça c'est que la sécurité revient entièrement à l'utilisateur, si sa clef privé est compromise il perd le contrôle de toute sa vie numérique
Le 30 juillet 2023 à 10:05:02 :
Le 30 juillet 2023 à 10:03:08 DemainJeKen a écrit :
Le 30 juillet 2023 à 10:01:27 :
Le 30 juillet 2023 à 09:58:24 :
Parce qu'il faudrait une autorité centrale mondiale qui garderait ta clé privée et à laquelle tu te serais authentifié et que ça n'existe pas. Ça existe à petite échelle.bah pas forcement, il suffit que le site stocke ta clé publique puis à chaque connexion il t'envoie un "challenge", une chaine de caractères chiffré avec ta clé publique, et tu le renvoies déchiffré avec ta clé privé
C'est exactement ça que je dis.
Avec le modèle actuel tu fournis un mot de passe à une personne tiers dont tu ne sais rien (le site). Il peut en faire ce qu'il veut s'il est malicieux. Et s'il le stocke mal, il peut compromettre ta sécurité.
Alors que si on lui fournit juste notre clé publique (qu'il stocke en DB en tant que nouveau utilisateur), puisqu'il nous challenge au moment de la connexion, ça marcherait parfaitement.
le soucis avec ça c'est que la sécurité revient entièrement à l'utilisateur, si sa clef privé est compromise il perd le contrôle de toute sa vie numérique
Pareil qu'avec un mot de passe non ? 
Mais ton mot de passe est pas stocké tel quel dans une database
API disponible. Utilisez le paramètre "api" en GET, peu importe le contenu, sur une page du site.
-
Partenaire: JVFlux
Ce site n'est pas associé à Jeuxvideo.com ou Webedia. Nous utilisons seulement des archives publiques.
Il est inutile de me spammer par e-mail pour supprimer un topic. Au contraire, en conséquence, je mettrais votre topic dans le bloc ci-dessous.
-
Personne n'a pas assumé de topic pour le moment.