Du hachage côté client pour l'authentification par mot de passe

Abstract

Malgré des décennies d’analyses et d’avertissements au sein de la communauté académique, les grands fournisseurs de service n’appliquent correctement le hachage des mots de passe que très rarement, comme en témoignent les fuites régulières de leurs bases de données. La norme actuelle basée sur l’envoi en clair d’un mot de passe qui sera haché sur le serveur correspond d’ailleurs à des contraintes aujourd’hui obsolètes. Nous analysons les avantages et inconvénients de l’alternative que représente le hachage côté client, et les moyens de détecter automatiquement la méthode utilisée. Nous montrons aussi que, sur les 50 services les plus utilisés aujourd’hui, seuls huit utilisent cette architecture, et que ce sont exactement les huit services basés en République Populaire de Chine.