Ah, c'est l'utilisateur qui choisit la domain phrase? Je pensais que c'était le site / nom de domaine qui choisissait.
Ok, dans ce cas, c'est différent.
Est-ce que cela revient au même si chaque site web où on a un mot de passe à entrer utilisait un mécanisme de hashage coté client avant d'envoyer le mot de passe?
Par exemple, je tape mon mdp sur bidule.fr, le javascript (ou le navigateur web, ca serait mieux, mais je ne connais pas de standard pour cela) hashe le mot de pass (sha avec un sel définit par le serveur et par le login par exemple) et seul le hash est envoyé? Ainsi en cas d'écoute réseau, le mot de passe du client ne sera jamais dévoilé? Ce serait probablement encore mieux que saltyourpass, car le mot de passe semble quand même être envoyé à ce saltyourpass (en https ok, mais avec ces histoires à la NSA...). Dans un schéma de hashage coté client avant d'envoyer le passe au site, aucun mot de passe de l'utilisateur n'est envoyé directement sur le réseau.
Ok, dans ce cas, c'est différent.
Est-ce que cela revient au même si chaque site web où on a un mot de passe à entrer utilisait un mécanisme de hashage coté client avant d'envoyer le mot de passe?
Par exemple, je tape mon mdp sur bidule.fr, le javascript (ou le navigateur web, ca serait mieux, mais je ne connais pas de standard pour cela) hashe le mot de pass (sha avec un sel définit par le serveur et par le login par exemple) et seul le hash est envoyé? Ainsi en cas d'écoute réseau, le mot de passe du client ne sera jamais dévoilé? Ce serait probablement encore mieux que saltyourpass, car le mot de passe semble quand même être envoyé à ce saltyourpass (en https ok, mais avec ces histoires à la NSA...). Dans un schéma de hashage coté client avant d'envoyer le passe au site, aucun mot de passe de l'utilisateur n'est envoyé directement sur le réseau.