Fichier crypté de donnees sécurisées

Fichier crypté de donnees sécurisées - Divers - Programmation

Marsh Posté le 24-09-2015 à 08:26:41    

Bonjour,
 
Je suis en train de dev (en c++, mais ça n'a pas d'importance ici) une application de gestion de compte utilisateur (Login/password/description) pour la connexion à un service tiers.
 
C'est une application de type "coffre fort" (a la manière de keepass par exemple), sécurisée par un mot de passe utilisateurs unique, pour qu'il n'ait pas à retenir les multiples login/password.
 
Je pensais stocker dans un fichier, le hash du password de décryptage, suivi des données de connexion cryptées. (Le tout avec un mécanisme de vérification d'intégrité).  
 
 Qu'en pensez vous?

Reply

Marsh Posté le 24-09-2015 à 08:26:41   

Reply

Marsh Posté le 24-09-2015 à 12:52:55    

C'est une solution.
 
Il y en a d'autres.
Par exemple, stocker le mot de passe dans une base de données plutôt que dans un fichier.  
C'est plus facile pour gérer les insertions, suppressions, modifications, et sélections.
C'est moins facile de transporter une base de données qu'un fichier, pour une personne malveillante.
 
Par exemple, ne pas mettre les données de connexion à proximité du mot de passe
parce que la fréquence de changement du mot de passe est différente de celle des données de connexion,
et que d'une manière générale en informatique, il faut dissocier les données qui ont des durées différentes.
 
Prévoir une fonction de réinitialisation d'un mot de passe par un administrateur.
 
Penser à ce qu'une personne malveillante ne puisse pas demander un changement de mot de passe
pour avoir accès au compte. Souvent, on a un système de validation par un mail.
 
Restreindre les connexions multiples simultanées pour un seul utilisateur.
Il est vrai qu'une personne pourrait être connectée à la fois sur son ordinateur et sur son téléphone portable,
mais il faut voir si c'est souhaitable de permettre ces deux connexions en même temps.
S'il y a plus de deux connexions, cela arrive par exemple quand une personne a donné son identifiant
et son mot de passe à quelqu'un d'autre, ce qui peut être un comportement acceptable ou pas.
 
Prévoir une déconnexion au bout d'un certain temps.

Reply

Marsh Posté le 25-09-2015 à 08:52:27    

Hash + salt au minimum, avec un algo de hachage coûteux comme bcrypt ou scrypt.

 

Keepass stocke le mot de passe dans le .kdbx, tu peux t’inspirer de leur code source puisqu'il est dispo.
Quelques détails supplémentaires sur KeePass : http://security.stackexchange.com/a/8477


Message édité par LeRiton le 25-09-2015 à 08:58:02
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed