lekteur (./33) :
Pourqoui stocker ses mots de passe aussi ?

Sans doute parce que devoir taper systématiquement pour chaque site internet sur lequel on est habitué de venir, taper tous les mots de passe pour les IM qu'on utilise, il faudrait compter quelques minutes "juste pour ça". Si on peut réduire ça à 0 minutes, pourquoi ne pas l'envisager ?

Pollux (./40) :
Euh si, ça veut dire que si tu utilises le même mdp (ou deux mdp proches) pour deux services différents (c'est pas très sécurisé mais c'est une pratique courante sans système à la kwallet) le pirate ne pourra accéder qu'au service dont il peut lire les fichiers de conf... Ca veut dire aussi que le service peut implémenter une fonction "me déconnecter de toutes les applications" qui change le salt du md5 sans changer le mot de passe que tape l'utilisateur ^^

Hmmm on a pas du se comprendre. Si j'ai un mot de passe, mettons "toto", puis qu'on dise : toto permet de se connecter à gtalk, mais md5sum(toto) envoyé en clair au serveur de gtalk suffit aussi, alors ça signifie clairement que ce md5 devient aussi mot de passe d'authentification. Donc c'est naze. Après, ton idée de modifier le salt à chaque fois, ça veut dire qu'on a un md5 qui change tout le temps. Sauf que ça veut dire aussi qu'il faut pouvoir communiquer cette information, et ça veut aussi dire qu'il faut blinder ta fonction de déconnexion...