un plug in au concept pas mal

[JeZuS]

http://crypto.stanford.edu/PwdHash/

A Simple Solution. PwdHash is an browser extension that transparently converts a user's password into a domain-specific password. The user can activate this hashing by choosing passwords that start with a special prefix (@@) or by pressing a special password key (F2). PwdHash automatically replaces the contents of these password fields with a one-way hash of the pair (password, domain-name). As a result, the site only sees a domain-specific hash of the password, as opposed to the password itself. A break-in at a low security site exposes password hashes rather than an actual password. We emphasize that the hash function we use is public and can be computed on any machine which enables users to login to their web accounts from any machine in the world. Hashing is done using a Pseudo Random Function (PRF).[/color]

Si j'ai bien compris, en apposant @@ devant son mdp, le plugin fait proxy, encrypte le mdp en fonction du nom de domaine et propose au serveur un mdp unique, ce qui evite si le site se fait casser d'avoir un mdp exploitable sur d'autres sites.

Pas con

[iop]

Effectivement, le principe à l'air pas mal!
Mais cela necessite d'avoir ce plugin installé et le jour ou ce service n'existera plus, si on reformate son PC, improssible de recuperer ses mots de passe!
Il faudra donc tous les remplacer!

C'est surtout le fait de devoir installer un plugin qui me gene...
Et puis, va savoir ce qu'il fait avec! Si il faut, le concepteur se crée un base avec tout ces codes d'accé! (<--Je plaisante! )

[JeZuS]

>Mais cela necessite d'avoir ce plugin installé

Oui,
en général pour qu'un plug-in fonctionne, il doit être installé

> et le jour ou ce service n'existera plus, si on reformate son PC, improssible > de recuperer ses mots de passe!
> Il faudra donc tous les remplacer!

Le jour ou SSOfast fait faillite et qu'on retire la base de la prod,
les clients seront également obligés de se rappeller de tous leurs mots de passe qu'ils avaient stockés chez nous.
D'ou process de recuperation du mdp pour ch1 des sites, etc.
     
Le principe du plug in c'est :
     hasher mdp+domain name et
     envoyer le hash comme mdp pour le site en question
donc tant que tu possèdes ton mdp initial (qu'a priori tu n'as stocke nulle part ailleurs que dans ta tete) et le site associé, tu es toujours en theorie en mesure de les hasher, avec du code maison.

> C'est surtout le fait de devoir installer un plugin qui me gene...
> Et puis, va savoir ce qu'il fait avec! Si il faut, le concepteur se crée un
> base avec tout ces codes d'accé! Grima&ccedil;ant (<--Je plaisante!
> Roulement d'yeux)

C'était surtout le concept en soi qui est interessant en tant qu'idee pour ssofast :
hacher la clef d'encryption maître par l'url qu'on veut rajouter
pour creer une clef d'encryption unique pour cette entree specifique.

Donc au final
celui qui casse un login/pwd en base n'aura pas accès a la clef d'encryption principale mais à une pauvre digest.

A moins que ce ne fusse déjà le cas actuellement ?

[iop]

Ha! Effectivement, les données stockées sont un hash de (valeur aleatoire + la clef maître + donnée a crypter +  je ne sais plus trop quoi)
La valeur aleatoire permet d'avoir des hash different même si l'on code des données identiques!

Le script (Javascryptor) est de Michel Chilowicz sous licence GNU-GPL.
http://www.netastuces.org/new/?page=javascrypteur(<-- Il a fallut que je relise l'ancien forum pour retrouver ce lien! Ca fait bizzard de relire des posts d'il y a 1 an déjà....)