PDA

Afficher la version complète : Authentification: clone de RSA-SecurID



Napo7
28/10/2008, 09h35
Bonjour

J'aimerais sécuriser l'accès à une page web, par un système de mot de
passe.
J'aimerais par contre éviter le simple couple utilisateur/mot de
passe, car cela me semble peu sécurisé : si quelqu'un intercepte ce
couple, il a accès à ma page, et j'y stocke des données sensibles.

J'ai pensé à mettre en place un système similaire au "RSA SecurID", à
"code tournant".
J'ai vu quelques projets OpenSource tel que MobileOTP ou encore
FreeAuth.
Je m'en suis inspiré pour créé mon propre système :
Un "générateur de clé" prends en entrée : un numéro de séquence,
fourni par le site (incrémenté à chaque nouvelle authentification) et
un mot clé. Il y concatène le timestamp DATE/Heure/minute, et effectue
un MD5SUM, puis la clé obtenue est tronquée à 10 caractères
(Hexadécimale, soit 10^16 possibilités de clés, ou encore 10 milliards
de millions de clés): c'est le mot de passe "unique".

Une fois cette clé entrée sur le serveur, le serveur fait la même
opération : il concatène le numéro de séquence, le "mot clé secret"
qu'il connait, le timestamp Date/heure/minute, effectue le MD5SUM,
puis tronque. Si les deux clés sont identiques, l'accès est autorisé
le temps de la session.
La clé obtenue n'est donc en théorie pas réutilisable...

Que pensez vous de ce système ?

maniacode
10/11/2008, 23h36
C'est un système simple et éprouvé.
Une bonne implémentation des sessions d'identification à clé tournante.

Je suis toutefois plutôt partisan de l'identification session à clé publique, pour les accès personnels.