C’est à se demander pourquoi personne ne l’a fait avant… Une méthode imaginée en 2007 et baptisée threshold cryptography a été mise en œuvre par la société RSA grâce à un « soft/algo » développé pour l’occasion qui sortira bientôt de manière publique et qui va probablement augmenter la sécurité de nos comptes en ligne.
Le concept est simple… Vu que les hackers peuvent pirater les bases contenant les mots de passe, il suffit tout simplement de diviser ce mot de passe en 2, 3, 4…etc. morceaux, sur autant de serveurs que nécessaire. Ainsi, un hacker qui entre dans un serveur ne récupérera qu’une partie du mot de passe de l’utilisateur. Pour aller plus loin, il devra hacker l’ensemble des serveurs stockant ces fractions de mot de passe. Du boulot en plus !
- 1/ Avant que le mot de passe soit stocké en base, il est modifié grâce à un nombre généré aléatoirement. Ce nombre aléatoire est stocké sur un serveur (le rouge) et le mot de passe modifié est stocké sur un serveur différent (le bleu). Si un serveur est piraté, ce ne sera pas suffisant pour trouver le mot de passe.
- 2/ A intervalle régulier, un nouveau nombre aléatoire est généré et les 2 serveurs sont mis à jour avec cette valeur. Cela permet d’ajouter une couche supplémentaire de protection temporelle. Il faudrait que les 2 serveurs soient piratés en même temps pour que le mot de passe soit compromis.
- 3/ Ensuite, lorsqu’une application web a besoin de vérifier que le mot de passe entré est le bon, ce dernier est modifié avec le nombre aléatoire du moment, et les 2 parties (nb aléatoire et mot de passe avec nb aléatoire) sont envoyés respectivement au serveur rouge et bleu. Chaque serveur vérifie alors la validité des infos et les accepte ou pas.
Reste à voir maintenant au niveau du temps de latence, ce que ça peut donner.