Le 10/05/2013 15:53, Emmanuel Thierry a écrit :
Le 10 mai 2013 à 15:10, Julien Escario a écrit :
Le 10/05/2013 15:06, Clem Clem a écrit :
Bonjour Julien,
Un login et mot de passe par utilisateur,
Une gestion de groupe d'users,
Un open ldap.
Ou je n'ai pas compris la question ?
Ou il manque de infos/précisions?
Ca sait faire du cryptage réversible ldap ?
Parce que si on stocke en clair, bof et si on stocke crypter, il faut qu'il
sache décrypter à partir du pass et/ou d'une clé bien planquée par un mécanisme
X ou Y.
Non ?
OpenLDAP c'est du SSHA en général, donc du hash salté. Le salt est encodé dans
le contenu du pass stocké. En gros un mot de passe est stocké sous cette forme:
salt . sha(salt . pass)
Donc d'une part à aucun moment tu ne stockes le mot de passe en clair, tu ne
peux pas non plus le reverser du fait de la construction, enfin c'est très
chaud à brute-forcer puisque le salt est unique pour chaque mot de passe (pas
d'attaque par dictionnaire possible). Le mot de passe ne passe en clair
qu'entre le client et le serveur (une connexion TLS et c'est fini ! :) )
OK, merci pour l'explication. Je suis un peu light sur ldap. Par contre, d'après
ce que tu dis, je peux authentifier avec LDAP mais pas stocker du password de
manière sécurisée.
Sinon autre solution: authentification par clé SSH ou certificat (ce qui
revient à peu près au même). Tu trouveras peu de choses aussi robuste !
On mets déjà de la clé et/ou certificat chaque fois qu'on peut mais sur de
l'appli web, c'est quand même vite limité.
Finalement, je confirme : keepass 2 fait très bien le boulot pour nous. Double
authentification (clé sur support USB + password), base stockée cryptée sur
notre serveur owncloud, lui même hébergé sur notre infra, ça me paraît déjà
plutôt solide.
Il ne me reste plus qu'à faire une copie de sauvegarde d'une clé USB avec un fs
lui même crypté et mettre ça au coffre. Après, ca va finir par être de la parano
non ?
Julien
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
