Eh beh... "souvent implanté dans les MMORPG"? Vraiment? Si on a une IP dynamique, cela va franchement être lourd... Ou si on est sur mobile, et qu'on passe par des antennes différentes (qui seront peut-être tes sources d'IPs), ce sera encore pire... Et je ne parle ni des proxys (qui seront peut-être enregistrés à la place du client) ni du fait que cela ne protège en rien d'un Man-In-The-Middle. Enfin, comme n'importe qui peut changer ses headers, je doute que cela protège vraiment les utilisateurs (cela ne risque pas plutôt d'être très lourdingue de rentrer leur réponse secrète eux-même?)
Bref, je ne suis pas en faveur de l'idée.
J'aurai du lire le message avant de commencer ma réponse... Désolé!
Effectivement, ce système par nature, va être lourd et probablement inadapté à la finalité (protéger le compte). Facebook fait différemment: il enregistre un cookie de très très longue durée sur la machine cliente, pour la marquer. Si une machine non marquée tente de se connecter, FB demande confirmation (par téléphone par exemple). Evidemment, le cookie-marqeur n'est pas juste du type "Marquer=true", mais il s'agit plutôt d'un token qui a une correspondance en BDD. Autrement dit, le cookie-marquer ne doit pas pouvoir être prédit. Ainsi, peu importe l'IP ou le chemin réseau de la requête, ce qui est marqué, c'est la machine.
L'autre possibilité, plus pesante pour l'utilisateur mais plus simple à faire, consiste bêtement à envoyer un mail de notification à l'adresse du compte et ce, à chaque connexion à ce compte. Le compte n'est alors pas protégé, mais on est informé qu'une connexion a eue lieue. Si on n'a pas peur d'être lourdingue, ou si le compte doit vraiment être sécurisé, on peut inclure, dans le mail, un lien qui permet d'autoriser la connexion. Sinon, la connexion est refusée.
C'est très pesant par rapport à la solution FB (puisque l'on doit consulter sa boite à chaque connexion et cliquer dans le lien du mail); niveau phishing, c'est plutôt sécurisé (si on reçoit le mail sans avoir demandé de connexion, on ne l'autorise pas; mais à l'inserve, si on met un bouton "interdire la connexion" dans le mail, alors le phishing devient un risque important).
A mon avis, avant de perdre passer du temps sur des sécurités supplémentaires comme celles-là, mieux vaut finir le jeu: quand on commencera à avoir de nombreux comptes, il sera toujours temps d'ajouter des sécurités.
Bref, je ne suis pas en faveur de l'idée.
J'aurai du lire le message avant de commencer ma réponse... Désolé!
Effectivement, ce système par nature, va être lourd et probablement inadapté à la finalité (protéger le compte). Facebook fait différemment: il enregistre un cookie de très très longue durée sur la machine cliente, pour la marquer. Si une machine non marquée tente de se connecter, FB demande confirmation (par téléphone par exemple). Evidemment, le cookie-marqeur n'est pas juste du type "Marquer=true", mais il s'agit plutôt d'un token qui a une correspondance en BDD. Autrement dit, le cookie-marquer ne doit pas pouvoir être prédit. Ainsi, peu importe l'IP ou le chemin réseau de la requête, ce qui est marqué, c'est la machine.
L'autre possibilité, plus pesante pour l'utilisateur mais plus simple à faire, consiste bêtement à envoyer un mail de notification à l'adresse du compte et ce, à chaque connexion à ce compte. Le compte n'est alors pas protégé, mais on est informé qu'une connexion a eue lieue. Si on n'a pas peur d'être lourdingue, ou si le compte doit vraiment être sécurisé, on peut inclure, dans le mail, un lien qui permet d'autoriser la connexion. Sinon, la connexion est refusée.
C'est très pesant par rapport à la solution FB (puisque l'on doit consulter sa boite à chaque connexion et cliquer dans le lien du mail); niveau phishing, c'est plutôt sécurisé (si on reçoit le mail sans avoir demandé de connexion, on ne l'autorise pas; mais à l'inserve, si on met un bouton "interdire la connexion" dans le mail, alors le phishing devient un risque important).
A mon avis, avant de perdre passer du temps sur des sécurités supplémentaires comme celles-là, mieux vaut finir le jeu: quand on commencera à avoir de nombreux comptes, il sera toujours temps d'ajouter des sécurités.