FORUM MP | Web : Authentification: clone de RSA-SecurID

COMMUNAUTE MP

Identifiez vous ...

DOMAINE MP

Bavardages

Langages Généraux

Langages Web

Langages DotNet

Autres langages

Dev. Jeux Video

Sécurité

Sys. Exploitation

Graphismes

Logiciels

Réseaux

Bases de données

Méthodologies

Emplois High-tech

Aide juridique

Articles juridiques

FORUM

CHAT MP IRC

Votre pseudo ...

Srv: irc.moteurprog.com

Chan: #MoteurProg

PARTICIPER

Plus de 3500 emplois.

Visiteur MP

Authentification: clone de RSA-SecurID
	Forum : WEB Sous Catégorie : Aucune Type du sujet : Sujet Normale FAQ : FAQ WEB
		SUIVI PAR MAIL INACTIF
		SUJET NON RESOLU
		SUJET ACTIF
		N'APPARTIENT PAS A LA FAQ

FORUM WEB
	Page précedente	Page suivante

Napo7
Nouveau membre

Inscrit : 28/10/2008
Messages : 1

#157655 Posté le 28/10/08 à 09:35

Bonjour

J'aimerais sécuriser l'accès à une page web, par un système de mot de
passe.
J'aimerais par contre éviter le simple couple utilisateur/mot de
passe, car cela me semble peu sécurisé : si quelqu'un intercepte ce
couple, il a accès à ma page, et j'y stocke des données sensibles.

J'ai pensé à mettre en place un système similaire au "RSA SecurID", à
"code tournant".
J'ai vu quelques projets OpenSource tel que MobileOTP ou encore
FreeAuth.
Je m'en suis inspiré pour créé mon propre système :
Un "générateur de clé" prends en entrée : un numéro de séquence,
fourni par le site (incrémenté à chaque nouvelle authentification) et
un mot clé. Il y concatène le timestamp DATE/Heure/minute, et effectue
un MD5SUM, puis la clé obtenue est tronquée à 10 caractères
(Hexadécimale, soit 10^16 possibilités de clés, ou encore 10 milliards
de millions de clés): c'est le mot de passe "unique".

Une fois cette clé entrée sur le serveur, le serveur fait la même
opération : il concatène le numéro de séquence, le "mot clé secret"
qu'il connait, le timestamp Date/heure/minute, effectue le MD5SUM,
puis tronque. Si les deux clés sont identiques, l'accès est autorisé
le temps de la session.
La clé obtenue n'est donc en théorie pas réutilisable...

Que pensez vous de ce système ?

HAUT DE PAGE

Publicité

Inscrit : X
Messages : X

#Aucun

HAUT DE PAGE

maniacode
Superviseur :
- Sécurité
Modérateur :
- PHP
Chef de projet(s) :
- NSM-Noyau pour .

Inscrit : 21/08/2006
Messages : 360

#157899 Posté le 10/11/08 à 23:36

C'est un système simple et éprouvé.
Une bonne implémentation des sessions d'identification à clé tournante.

Je suis toutefois plutôt partisan de l'identification session à clé publique, pour les accès personnels.
__________________________
Développeur/Webmaster/Administrateur Réseau
---
La différence entre un homme politique et un expert en sécurité tient en ce fait que corrompu, le second est au chômage.

HAUT DE PAGE

PAGE : [1]

.: Site Web développé par Julien Pichot et l'équipe MPWG avec www.evolvia-web.com :.