Fatigué de rentrer votre mot login et mot de passe ? Envie d’originalité ? Il suffisait de demander à Jack Reichert qui vient de publier le plugin No More Password.
Mise à jour de sécurité : Julio, du blog de sécurité Boite à Web, a gentiment vérifié l’intégrité de ce plugin. Celui-ci est dorénavant sûr et peut être utilisé sans risque sur votre site.
L’idée a au moins le bon goût d’être originale. Fini l’indécrottable couple login / password, voici venu l’identification par QR Code.
L’utilisation est assez simple. Après l’installation du plugin, il vous suffit de vous connecter à votre site via le navigateur web de votre mobile. Comme à chaque fois, un cookie sera alors créé. Ensuite, depuis votre PC, il suffit de flasher le QR Code qui s’affiche comme sur la capture d’écran ci-dessus et le tour est joué.
Une vidéo de démonstration par Jack Reichert :
Bon, je vous accorde que l’utilité est très limitée. Ça peut être pratique si vous avez une flopée de site en gérance et que vous êtes du genre voyageur. À utiliser avec parcimonie cependant, l’auteur précise que son joujou est encore en beta même s’il assure que la sécurité de votre site et vos mots de passe sont assurés.
Le plugin : http://wordpress.org/extend/plugins/wp-qr-code-login/
Ces articles pourront vous intéresser
25 Responses to “Se connecter à WordPress avec un QR Code”
Loading ...
Hello,
J’ai vraiment du mal à voir l’utilité de la chose…
Il a passé plus de temps à tenter de scanner son QRCode qu’à entrer ses identifiants.
Je suis plus que septique, m’enfin pourquoi pas, si on se retrouve digitalement limité. ^^
Bonne continuation !
L’utilité est très relative en effet. J’ai trouvé l’approche assez originale. À creuser pour proposer une nouvelle manière de se logger dans les années à venir qui sait
Même que Geoffrey, j’ai vraiment dû mal à voir l’utilité de l’extension :/
Quoi ? Tu publies un plugin qui parle de login, mot de passe, sécurité et je suis pas prévenu ? Oulalala ça va pas ça …
Bon, ya un truc que je ne comprends pas, je suis en train de regarder comment ça fonctionne et … comment le QRCode sait qui je suis pour me logger !!? Suis-je un admin ? Un auteur ? Lequel ?
En regardant le code, il vérifie si le hash demandé ne correspond pas à un hash “guest”, mais tous les hashs sont en guest !
Pour updater un hash avec un login, il faut … se logger o_O
Donc là, je ne saisis pas comment on fait pour se logger avec le QRCode…
Qui a essayé !?
ps : le bouton “Sousmettre un commentaire” contient une faute, je vous laisse trouver
Je t’avoue avoir écrit ça plus pour le clin d’oeil qu’autre chose. Je me suis dit que ça ne valait pas le coup de t’embêter. Mais vu tes remarques, j’aurai peut-être du. J’ai compris que le hash qu’il vérifie est celui généré par ta connexion depuis ton mobile. De là, il génère un QR Code contenant ce hash qui servira à la vérification quand tu le flashes.
haaaa excellent, j’ai compris, génial pour hacker !
Donc je confirme : ENORME faille, ne l’utilisez pas :]
je me disais aussi, Jack réinvente le web et l’authentification, bon il est gentil, je ferme les yeux sur le code ajax qui fait ramer votre navigateur si vous laissez ouvert la page de login tout la journée (les requêtes sont sans fin)
J’ai bien envie de faire une vidéo tellement c’est fun cet exploit x)
Je change l’article immédiatement.
Viens sur skype je te montre en partage d’écran x)
julio.boiteaweb
(skype gratuit, servez vous)
Je ne peux malheureusement pas depuis le bureau.
DOmmage ^^ J’essaie de faire une vidéo, c’est assez bluffant de se retrouver admin sans rien toucher x)
Il faudra la montrer à wpmu.org qui a parlé du plugin aussi hier.
http://wpmu.org/no-more-passwords-log-into-wordpress-with-a-qr-code/
http://www.jackreichert.com/2012/01/22/no-more-passwords-log-into-wordpress-using-a-qr-code/
http://wordpress.org/support/topic/plugin-no-more-passwords-security-issue?replies=1
Je ne fais pas la vidéo, c’est trop explicite, dommage :/
Même si il semble que il y ait des failles assez énormes, je pense que ça peut ouvrir des voies pour de nouvelles methodes de login. On peut même imaginer un login qui ne se ferait que a partir de son mobile, donc plus de page d’accès directement sur le site…
Presque_hors_sujet: J’ai (faiblement) commencé de mon côté un plugin qui touche au login aussi pour ajouter de la sécurité (évidemment ;p)
Aucune date prévue de release.
J’ai donné ma solution sécure de patch à l’auteur, j’attends sa réponse, son avis et qu’il dev le patch.
Bientôt, vous pourrez l’utiliser de nouveau
Le voilà, le voici nouveau plugin sécurité chez moi : http://baw.li/msl
Ajoute une authentification forte sur un site. Ca c’est de la sécurité monsieur !
Je suis en train d’avancer sur le 3e volet des “plugins pour bien démarrer”, il en fera très certainement parti
Cash comme ça sans tester ^^ Merci pour cette confiance.
Ps : ce plugin est sécure, même si quelqu’un entends votre mot de passe et qu’il parviens par une moyen quelconque à dérober votre user meta (ouè je vais loin), les codes ne sont pas en clair dans le BDD, tout comme votre pass. Pas fou non…
Si on ne peut plus te faire confiance sur ces sujets là, on est grave dans la merde :p
Méthode que j’avais déjà vue il y a quelques temps sur un système de gestion interne. À l’époque, elle avait une contrainte : si tu oublies la carte, t’es eu. Je vois que tu as pensé à la chose en l’envoyant par mail
Et tu peux en demander une nouvelle comme quand tu ublies ton pass : “Mot de passe perdu ?” et hop, une nouvelle carte par mail.
Pas de fichiers sauvés sur le site, rien en BDD :]
La version 1.1 est OK et corrige toutes les failles depuis la 0.1.
Vous poyvez maintenant utiliser ce plugin sans soucis. (et supprimer le message rouge en haut du post ^^)