Changement de mot de passes constant ? || Plus sécurisant ?

[b0fh]

Hello,

Je ne sais pas si c'est pertinent ou si ça correspond à ton idée, mais il y a un mécanisme de One-Time Password dont l'idée de base fonctionne comme ça:

Pré-requis: une fonction de chiffrement symétrique C, avec c = C(k,p) (p=plaintext, k=key, c=ciphertext), sécure contre les attaques a texte clair connu.

Initialisation:
le client choisit aléatoirement une valeur secrète x0 et un sel s. Puis il calcule et stocke itérativement plein de valeurs x1 = C(x0, s), x2 = C(x1, s), ...., x(n+1) = X(xn, s). Il envoie au serveur xn et s.

Authentification: le serveur connait xn et s, le client envoie au serveur comme mot de passe la valeur x(n-1). Le serveur applique la fonction de chiffrement et vérifie que C(x(n-1), s) = xn. Si ce n'est pas le cas, le serveur rejette le login; sinon le serveur remplace xn par x(n-1), et le client efface la valeur x(n-1) et décrémente son compteur n de 1.

Quand le compteur arrive à 0, c'est la merde, et le client doit refaire une initialisation avec le serveur pour générer de nouveaux codes.

Preuve de sécurité: supposons que l'adversaire, ayant intercepté la ligne, aie obtenu les valeurs s et xn. si l'adversaire est capable de calculer une valeur x(n-1) telle que C(x(n-1),s) = xn, alors il est capable de résoudre l'équation c = C(k,p) lorsque k est inconnu. Il dispose donc d'une attaque a texte clair connu contre l'algo de chiffrement. Donc, si l'algo de chiffrement résiste aux attaques a texte clair connu, cet algorithme est sûr.