Pages : 1
#1 Le 15/11/2014, à 15:47
- Morgiver
Login via eID
Salut,
J'aimerais permettre à mes collègue de se connecter au gestionnaire de données en utilisant leur carte d'identité.
Ça permet deux chose :
C'est plus rapide, le script fait tout automatiquement, plus besoin de rentrer un login et un mot de passe.
C'est plus sécurisé, l'utilisateur ne connais ni son login, ni son mot de passe. Peu d'attaque de type ingénierie sociale possible, à moins que l'attaquant ne persuade notre collègue à lui prêter sa carte d'identité.
Comme il s'agit de données sensible, j'aimerais avoir votre avis sur ce que je prévois de faire :
L'utilisateur met sa carte d'identité dans le lecteur, via un script javascript, le formulaire détecte directement la carte et commence à lire les données.
Comme login, il utilise le Nom et le Prénom concaténé.
Comme mot de passe, il prend l'ensemble des données de la carte et les passent dans un hashage (genre SHA2 md5 ou autre).
Le résultat est envoyé en crypté (SSL) au script PHP qui vérifiera si le mot de passe et le login correspondent bien dans la base de données (mot de passe salé et hashé une nouvelle fois hein).
J'évite d'envoyer l'ensemble des données de la carte d'identité sur la ligne (ces données ne reste que sur le script client), d'abord parce que ce n'est pas nécessaire et puis parce que c'est beaucoup trop dangereux à mon gout.
Quel serait l'impact d'une attaque type man in the middle ?
J'aimerais éviter un reverse sur le hashage de données (même si les données sélectionnée ne seront pas les plus importantes), SHA-2 suffit-il ou proposeriez vous quelque chose d'autre ?
Que feriez-vous de plus dans cette situation ?
Merci d'avance 
Morgiver
Hors ligne
Pages : 1