Je viens aujourd’hui vous faire part de mon projet : Le mot de passe ayant une place importante dans notre quotidien, il est de nos jours malheureusement peu sécurisé, c’est pourquoi j’ai décidé de créer mon webservice : https://secure-password.fr
En quoi il consiste ? Tout simplement à protéger les utilisateurs de votre site internet en les empêchant d'utiliser des mots de passe courants ou déjà piratés et disponibles en clair sur internet.
Actuellement seule l'API est disponible, mais j'ai pour projet de l'adapter sur mobile afin de permettre aux utilisateurs de sécuriser leurs comptes sur le web. Je précise également que mon service est en règle avec les normes de la CNIL.
Amis développeurs, webmasters ou autres, votre feedback me serait très précieux ! 250 Requêtes vous sont offertes à l'inscription afin que vous puissiez vous faire votre avis.
Si le projet vous plait, n'hésitez pas à acheter un pack de requêtes en guise de dons car j’aurai besoin de votre soutien pour assurer le serveur pendant plusieurs années et d’optimiser le service pour le rendre plus rapide et plus complet.
N'hésitez pas à partager le site sur les réseaux sociaux !
Je reste à votre disponibilité pour toutes autres questions.
Oublie ça, ce soir ou demain ça va devenir illimité et sous abonnement. Comme ça plus de soucis de requêtes (Il s'agissait du nombre de fois ou tu pouvais appeller l'API)
Non, pas du tout. D'ailleurs je profite de ne pas encore avoir de clients pour le changer, je passe en mode abonnement avec requêtes illimités (enfin ... avec un nombre de requêtes maximum élevé).
Supposons que ton API met un TTLB (Time to last byte) à 40ms (délai très cours en production), c'est déjà 10000x (au moins) plus lent que juste utiliser le package (qui est gratuit).
Du coup, le business est un peu bancale, vu que l'utilisateur dois payer pour quelque chose de gratuit, et l'avoir 10000x plus lent.
Maintenant, supposons que tu arrives a le vendre a quelque développeurs, quelqu'un pourrait juste écrire un package gratuit qui réplique exactement ton API et le donner gratuitement.
Je pense que la seule façon de te démarquer içi, est de donner des avantages impossible a avoir avec un package, par example du machine learning qui apprend si certains passwords sont faibles (au lieu d'utiliser des règles fixes). Ou certifier que les normes de password sont à jours (PCI compliance and all).
- Edité par theo_ 25 août 2017 à 14:34:35
https://base.run est une base de données postgres gratuite pour ton vos projects.
Je ne vend pas des preg_match, bien que ce soit un plus. Et je doute fortement qu'il existe un package gratuit connecté à une base de donnée de mot de passe [60Go actuellement, mais en constante évolution]
Je ne vois pas trop l'intérêt de ton API. Un regex suffit généralement pour respecter les normes de sécurité.
De plus, les 60Go de password cracké c'est bien, mais tu ne peux pas empêcher un client d'utiliser un mot de passe sous prétexte qu'un compte dans un autre pays a été craqué avec le même mot de passe y a 5ans.
C'est impensable en terme d'UX (au sens large).
Pour palier à ce problème, c'est une sécurité au niveau du stockage et du check du mot de passe, pas directement du mot de passe (ie: hash / salt / captcha... pour éviter un BF).
Je trouve le concept vraiment bien par contre, mais un peu déconnecté de la réalité (ce n'est absolument pas une critique, c'est juste mon opinion, je suis très intéressé par ton argumentation).
- Edité par arno21 31 août 2017 à 17:58:52
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
je suis plutôt d'accord, il suffit de vérifier la compléxité, puis d'avoir une liste (locale) par exemple des 1000 passwords les plus communs(azery, 123456) pour les interdire, et voila
Le problème c'est que les développeurs ne vont pas se prendre la tête à payer et utiliser un webservice et donc en dépendre juste pour ça sachant qu'en effet comme l'a dit theo_ il existe déjà une multitude de packages plus ou moins poussés qui répondent très bien à ces attentes.
De plus les entreprises ayant besoin d'un niveau de sécurité élevé pour leurs mots de passe et pourrais utiliser ce genre de service choisiront forcément de le développer en interne ou utiliser des solutions opensource au lieux d'envoyer un mot de passe en clair sur un service externe.
Tu a l'air passionné par ton projet, ton site est propre, mais fais attention à ne pas trop y investir avant d'avoir un business model plus cohérent ou tu risque de te faire de fausses illusions. Pense-tu vraiment que des entreprises utiliseront ton service ? Si oui combien en sachant que celles qui en ont vraiment besoin seront réticents à utiliser un service externe ?
Je ne vois pas trop l'intérêt de ton API. Un regex suffit généralement pour respecter les normes de sécurité.
De plus, les 60Go de password cracké c'est bien, mais tu ne peux pas empêcher un client d'utiliser un mot de passe sous prétexte qu'un compte dans un autre pays a été craqué avec le même mot de passe y a 5ans.
C'est impensable en terme d'UX (au sens large).
Pour palier à ce problème, c'est une sécurité au niveau du stockage et du check du mot de passe, pas directement du mot de passe (ie: hash / salt / captcha... pour éviter un BF).
Je trouve le concept vraiment bien par contre, mais un peu déconnecté de la réalité (ce n'est absolument pas une critique, c'est juste mon opinion, je suis très intéressé par ton argumentation).
- Edité par arno21 il y a environ 1 heure
Merci pour ta participation, mais pour tout te dire, la majorité du feedback que j'ai est le même que le tien. Je commence à me demander si c'est une si bonne idée que ça
L'idée est super, c'est juste que tu arrives un peu après la bataille
Les petites boites / dev' indépendant ne pourront pas payer pour un service comme ça, et vont donc le coder eux même (ou tout simplement ne rien faire).
Les plus grosses boites qui peuvent payer vont faire appel à des partenaire comme "SalesForce" par exemple, qui vont gérer directement la DB client avec la gestion de login via API. Ça permet au client de ne pas gérer / héberger lui même les comptes utilisateur et c'est très pratique.
Du coup si on regarde ce qu'il reste dans les potentiels client, c'est les dev' curieux, qui vont essayer ton API sur un petit projet perso, gratuitement.
Je me trompe peu être mais je pense que je suis pas si loin de la réalité.
- Edité par arno21 1 septembre 2017 à 10:31:01
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Je ne suis pas expert en la matière mais si tu penses vraiment que ton système est supérieur aux existant, il peut trouver une certaine place.
La problème c'est que ça passe, selon moi, par une version gratuite avec ajout de fonctionnalités payante, ou encore un appel aux dons. A vrai dire le seul marché que je vois pour toi ce sont les petits sites indés, qui passeront donc par des plugins de CMS / Framework.
Testes si les gens sont intéressés sur un Wordpress par exemple. La plupart des sites ne sont pas vraiment protégés (ou seulement par une Regex) et même si personnellement je doute de l’intérêt de la chose, je vois bien les devs de blogs un peu geek soutenir ce genre d'initiative. Mais pour en tirer un peu d'argent, pas le choix, il faut passer par du gratuit au moins au départ, et donc ne pas ou peu investir de ton côté.
Dernier point, j'ai précisé "si tu es vraiment convaincu qu'il est meilleur", car comme dit si le mot de passe "jfziophjf536nDFj&é" à été craqué il y a 5 ans, il reste hyper sécurisé, et une simple Regex suffit en réalité à protéger les utilisateurs des mots de passe trop simple. Enfin ton système ne permet pas de pallier au problème des utilisateurs qui divulguent eux même leur mot de passe, ou utilisent le même sur tous les sites, ce qui est le vrai problème... Une valeur ajouté à ton service serait d'implémenter (je n'ai pas la moindre idée du fonctionnement de ce genre de chose) un système qui ressemblerait à https://haveibeenpwned.com/ par exemple.
Alors comme dit auparavant, à part les devs curieux, j'ai du mal à croire qu’il existe un marché. Les devs curieux restent cependant un marché.
Une API pour des mots de passe sécurisés.
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Mon projet: SpotRoom. N'hésites pas à passer dire ce que tu en penses !
Je ne suis plus modérateur, ne me contactez plus pour des demandes, je n'y répondrai pas.