Le serveur sécurise la récupération du mot de passe

Par 26 juin 2009
Mots-clés : Smart city

Stocker les informations d'authentification non pas en externe mais dans le serveur rend plus sûr le recouvrement de données lors d'un oubli de la part de l'utilisateur. Ce, parce que le message peut moins facilement être intercepté.

Comment s'assurer que les données de connexion ne sont pas récupérées par une tierce personne quand un mot de passe oublié est envoyé via le réseau ? En stockant ces informations directement dans le serveur, au lieu de les héberger sur des plates-formes extérieures. C'est la proposition de recouvrement de mot de passe client-serveur qu'ont développée des chercheurs hollandais de la Radboud University et du TNO Information and Communication Technology.
Renforcer la sécurité du système
Pour empêcher toute intrusion dans le serveur, plusieurs systèmes de sécurisation peuvent être mis en place. Comme la fragmentation du mot de passe, ou encore la création d'une clé virtuelle qui encrypte les données à partir de questions posées en amont à l'utilisateur sur sa vie privée et des réponses qu'il aura données. Jusqu'à maintenant, les méthodes les plus sécurisées étaient l'authentification par un canal extérieur, comme un appel téléphonique ou un échange avec l'administrateur de la plate-forme.
Les lacunes des mécanismes existants
Selon les chercheurs, ce système serait beaucoup plus sécurisé que la plupart des méthodes utilisées actuellement. Ces derniers étant onéreux : la majeure partie des sites qui utilisent un mot de passe le stockent et le renvoient à l'utilisateur sur demande. Or, avec ce système, il existe un risque que l'information soit interceptée. Ce problème existe également dans le cas des systèmes basés sur la réinitialisation des mots de passe : le nouveau code, également envoyé à l'utilisateur par email, risque d'être détourné par d'autres internautes.

Mentions légales © L’Atelier BNP Paribas