Bonjour,
merci pour les précisions, c'est effectivement pas mal comme méthode. Pour FSB2 j'ai intégré récement le chiffrage RSA Pour l'authentification, donc le tout sera désormais très sécurisé aussi.

Pour inspiration

http://archives.rezo.net/spip-...100@rezo.net%3E

http://archives.rezo.net/spip-...etdhiver.org%3E

C'est plus clair avec le texte

A bientôt
Grégoire

C'est pour ça que je proposai aussi le principe de RSA. Le forum possède le moyen de déchiffrer et l'utilisateur envoi sa clé chiffrée. L'avantage étant que chaque forum à une paire différente et donc même si ton mot de passe est le même partout, il sera envoyé différemment à chaque fois.
Lorsque tu envoi en md5 puis rehashé md5, ton mot de passe, si c'est le meme partout, est envoyé toujours avec le meme chiffrage et on peux pas envoyer le sel car sinon on foutrait en l'air toute la sécurité.

Bonjour

Mais dans ce cas, cela m'oblige à toujours avoir mes clefs sur moi.

Si je suis chez quelqu'un, je n'ai pas forcément envie de sortir ma clef USB avec mes clefs RSA.

Il est fort probable que je ne comprenne pas comment ça fonctionne, je maîtrise mal le principe des clefs RSA.

Sinon, d'après ce que tu dis, ça semble bien, si le forum peut utiliser les clefs RSA pour l'authentification.

A bientôt
Grégoire

Non non c'est géré par le forum.

En gros c'est simple : le chiffrage RSA tu as une clef publique et une clef privée. Une fois le message encodé avec la clef publique, il faut la clef privée pour le décrypter. Donc tes informations sont encodées en javascript lors de l'envoie avec la clef publique du forum, et décodée en face par la clef privée (innaccessible).

Et une clé içi, c'est une suite de caractère, pas une clé usb (en gros je crois^^)

Désolé si tu avais comprit.

Si on veux détailler :
Tu arrives pour te connecter. Sans le savoir, le forum t'a envoyer une clé c'est à dire une suite de caractères qui permettront à ton navigateur internet de crypter ton mot de passe.
Tu valide ton formulaire, ton navigateur crypte le mot de passe et l'envoi.

A ce moment là, si jamais quelqu'un capture ce que tu as envoyer, il ne pourra rien en faire car il lui faudrait l'autre clef (qui est privée et conservée par le forum) pour pouvoir décrypter le mot de passe que tu as envoyer.

La clef publique et la clef privée du RSA sont les 2 maillons d'une même chaine.

Si on avait hashé en MD5 lorsque tu envoi ton mot de passe en supposant que tu ai le même mot de passe partout, quelque soit le forum, tu aurais envoyer la même chose.

Ici, une personne qui écoute ce que tu envoi ne pourra jamais se douter que tu as le meme mot de passe

Sécurité augmentée.

Une autre solution aurait été de définir 2 clé pour chaque forum. 1 privée et 1 publique. Tu aurais hashé en md5 avec la clé publique et le forum l'aurait re-hashé avec sa propre clé privée.

Je trouve ça très bien, ça augmente beaucoup la sécurité. c'est bien ce qui est utilisé pour la connexion en ssh non ?

Oui, remarque tu peux aussi utiliser SSH sans clé

C'est utiliser pour SSH et SSL aussi.