J'ai eu une idée : je réinvente le porte clefs aka J'me rappelle quand Wyze perdait ses clefs dans le zine J'ai 2000 passwords Façons nouvelles de gérer ça : - biométrie = dla marde - une carte d'accès universelle? universel dla marde - un ti papier avec toute mes pass dessus? si j'le perds chu ownède facile - un set de clefs... Eureka. Ce qu'il faut, c'est un set de clefs... Ça peut être juste un petit device, si tu te le fais voler c'est bad évidemment, sauf que, tout comme un set de clefs, faut que la personne sache qu'elle porte ça ouvre. Finalement, tu fini par avoir tellement de clefs, que de perdre un set de clef ça devient un security risk moyennement grand (entk pas plus grand que de perdre tes clefs en plein centre ville), puisque t'es difficile à cibler. Donc, le set de clef devrait contenir un moyen d'accès à toute nos accounts. évidemment la clef peut être fucking complexe, vu qu'on a juste à retenir de quoi elle a l'air pour l'associer à un account. Donc, d'un point de vue interface, on pourrait par exemple associer une image à un account.. ou encore un mot ou un texte. (tout comme avec un vrai set de clefs on se rappelle de la marque pis de l'allure de la clef, à la limite un print out du hash md5 dla key on finirait par reconnaître (sauf si t'as 200 clefs c plus compliqué, mais aller demander à vos concierge ski font..). Fak t'as juste à choisir quel clef utiliser dans ton porte clef, pis tu peux avoir accès à ton account. Pour l'utilisation, faudrait que ça soit de quoi de physique, ou si c wifi d'un range <1cm. Genre tu choisi quel clef prendre, tu plugs la bidule dans le clavier, et t'es authentifié. Ce que le bidule va storer : simplement le mot de passe (ou une key privée) ainsi qu'un moyen de rappeler l'utilisateur où la clef sert. On tombe donc avec de quoi qui a un niveau de sécurité comparable à un vrai set de clef. Si vous perdez votre set, n'importe qui peut faire des doubles (bads) ou les utiliser. Y'a aussi toutes les autres choses que vous pouviez penser, si genre on décrisse la serrure, si finalement la porte est rester ouverte, etc etc, mais combien de vous autres se sont faite voler leurs chars paske y'avait laisser les clefs dedans le moteur en marche dehors dans un cartier miteux de Montréal la nuit quand y'a du brouillard? Si c'est votre cas nyways vous êtes un peu cave de faire ça et vous l'avez mérité. haha Mais bon, y'a pire comme conséquence que des vrai clefs, la clef vu quelle est logique, peut être interceptée. Soit lors du chargement vers le bidule, ou soit lors de l'utilisation. Solution? Upload vers le bidule: Le bidule accepte seulement les clefs encryptées avec sa clef publique, fak y'a juste le bidule lui-même qui peut décoder le résultat du transfert. Tlm connais la clef publique de ton bidule (on s'entend qu'un bidule = un différent par personne). Bon la y reste encore un trou, du genre, tu peux créer une fausse clef, et la pitcher au bidule, et le gars va penser que c la bonne mais y se fait fourrer. Donc la solution, y'a juste un sysadmin qui peut donner des "clefs"... (le risque est encore la, mais pensez z'y un peu... entre le propriétaire de votre block appart qui vous donne la clef, ou la porte qui vous chie une clef dains mains, c'est quoi le plus sécure? hehe) Download du bidule (utilisation de la clef finalement): la évidemment on peut intercepter la clef.. solution? (la chu moins sure) Signer la fucking clef quand on l'envoie. Donc en gros, la porte (aka le server) s'assure que la clef provient vraiment du bon bidule. Cte boute la y'a moyen de le travailler un peu... mais faut surtout pas penser qui faut faire pareil comme le upload. Par exemple, on pourrait un lien crypté entre le bidule pis le serveur, pour ensuite échanger la clef (à la SSH). Mais faut pas oublier une chose, c'est que finalement, toute ce que je veux que ce bidule là fasse, c'est que enfin j'aille pu 56000 mots de passes à retenir.. donc si ça sécurité est >= à la sécurité de taper un mot de passe sur un clavier, j'aurai réussi. De plus, si ça sécurité est proche d'un set de clef, j'aurai de quoi d'acceptable dans un monde réel. Et finalement, pour les paranos, ou les personnes qui ont des clefs vraiment importantes, on pourrait utiliser toute les techniques existantes pour monter de quelques crans la sécurité. Par exemple, l'accès au bidule demanderait de rentrer un mot de passe (whatever, on peut même utiliser la biométrie ici) pour utiliser les clefs.. donc, si on perd le bidule good luck. La faudrait juste qu'on aie QU'UN SEUL BIDULE pour retenir QU'UN SEUL MOT DE PASSE. Et c'est la que j'aime la biométrie, mettons que le bidule reconnaît ma rétine, j'aurais juste a avoir l'oeil pas loin pour le débarrer.. pis si j'le perds, ben chu juste vraiment dans marde si en même temps je perds mon œil (et qui reste accrocher après le bidule)... Mais à la limite, dans le cas de perte ou de vol, on a juste à changer les serrures. That's all. Y'a aussi d'autres techniques qu'on pourrait utiliser, mais je crois que y'a une limite a tout. Y'a aussi des choses qu'on peut pas faire, car le modèle que je présente est sécure, mais pas trop (ce qui est à mon avis une BONNE sécurité, car trop sécure ça devient useless). Exemple, on pourrait changer de mot de passe souvent? Mais genre, changer vous vos clefs et serrures de maison souvent vous? Si vous vous faite voler ok, j'avoue, si vous avez des doutes, si votre ex a encore la clef, ok. Mais en temps normal non. C'est pour ça que la restriction que "y'a juste l'admin qui peut donner une clef" est bonne, car oui c'est compliqué à faire, mais c'est ce qui procure justement une sécurité un peu plus grande, du genre, faut absolument owner le sysadmin pour même pouvoir AVOIR la clef.. pis entre un sysadmin parano qui dors pratiquement jamais (ou parano alcoolique) pis monsieur madame tlm, les chances de se faire intercepter sont moins grandes... Ce qui pourrait être fait, c'est un système comme sur les cartes d'accès à puce, qui change avec le temps, mais dans ce cas la, faudrait que le bidule pis la porte s'arrange avec ça. MAIS, pensez z'y, on veut pas remplacer une clef physique, on veut remplacer une clef logique (soit un mot de passe). Donc, ultimement, la clef se promène que sur des liens logique, donc de rajouter une sécurité, qui est uniquement checkable au niveau physique, est plutôt useless.. donc si on voudrait de quoi qui change de phase dans le temps, faudrait que le bidule soit syncro avec tous les serveurs, et ça ça va prendre des années lumières avant que ça arrive, parce que après tout les syadmins paranos alcooliques sont p-e fiable, mais sont vedge pour changer leurs systèmes à ce point la. The future is now. C'est sur que perso je vois ça comme une bague magique, une clef, voir même un implant dans le corps, mais tout les concepts la sont possible maintenant. http://passwordsafe.sourceforge.net/ est un bon exemple. Cependant, ça sauve dans un fichier blowfishé pis ça fait juste copier/coller à partir du clipboard dans Windoze. Ce qu'on peut faire, MAINTENANT, c'est ça : avoir un PDA, un téléphone cellulaire qui sert de trousseau de clef. On store les passwords dedans. Une solution poche (ou de poche haha) serait de prendre le PDA/cellphone pour se rappeler du password (un peut comme on fait avec un post it), mais avec un module wifi genre bluetooth mais une version très poche qui marche juste si tu es littéralement collé sur le pc (PAS du fucking 802.11, on veut de quoi avec un range MAXIMUM oublier pas, ou sinon, faire un packet driver qui drop toute les trames 802.11 qui sont plus longue que le temps que ça prends a l'onde de faire plus que 20 cm.. good luck ça voyage vite une onde), pis la, avec une application installer sur le PC et sur le PDA, on pourrait juste choisir le mot de passe, pis l'envoyer. Pensez z'y, ça pourrait même marcher direct avec n'importe quel site web, ça copierais directement dans la case de mot de passe! Not bad, mais malheureusement c long gosser dans un pda/cellphone, faudrait donc avoir un piton shortcut de programmer, et on pourrait avoir le cas d'utilisation suivant : J'arrive devant un ordi, je sors mon PDA de mes poches, je pèse sur le piton de mon PDA (5 secs). Le PDA se plug crypter avec l'ordi, J'ai une confirmation sur mon PDA de l'ordi et vice versa (2 + 2 secs). La on pourrait faire de quoi de cool et pratique, genre l'ordi propose au PDA qui veut avoir le mot de passe pour www.duporn.com/members/. Mais si on fait ça, on enlève le "besoin de reconnaître ou va la clef pour sen servir". Mais le trade off peut être intéressent avec les passwords moins important (genre l'accès au site web de cul, versus un account root). Donc, si on fait l'affaire cool, ça prendrait même pas 1 secondes, et le password serait envoyé vers l'ordi. et tu click login, fini napu. A la limite ça pourrait même retenir le username itoo! on sauve du temps la! Sinon, faudrait : - checker la liste des mots de passe (2 * n = 30 secs si j'ai 15 passwords) - choisir le mot de passe pis peser sur le piton send (5 + 2 = 7 secondes). Mais des fois ça vaut la peine, car pensez-zy, l'account root vous vous logger une fois par semaine et l'account du site de cul, well plusieurs voir par jour =) Ah pis, dans mon cas présentement par exemple, la sécurité est moins forte que dans le modèle, parce que on change RIEN au système d'authentification présent, donc n'importe qui peut loader une clef dans le bidule (le PDA), sauf que, quand même, on a juste a se dire que le seul moyen de rentrer le password dans le PDA c de l'écrire soit même... Et pensez z'y, avec ça, votre mot de passe sur genre un phpBB pourrait être KjG56ga$ads$12fJ45gFjD3F4?ags%b et prendre AUTANT de temps à rentrer que 123456.. pratique. Bon voila, c'est mon proof of concept, après avoir réfléchi pendant genre quelque mois au sujet que "les fuckings passwords ca sert a rien chu tanné den avoir 85000", j'étais sur mon sofa pis j'ai pensé à un porte clef... Pour ceux qui ont eux le courage de lire mes déblatérations au complet, et bien bravo mais je vous encourage à y songer encore plus pis à détruire "mon proof of concept". C'est de cette façon que la mentalité "hacking" sert à quelque chose.. et peut-être qu'un jour, à force de détruire les failles des idées, on aura des idées presque parfaites.