Votre site est déjà compatible avec authent par certificat logiciel ? Dans ce cas, si tu ne veux pas modifier le site, le système que tu proposes semble intéressant. En cas de perte, il est tjs possible de révoquer le certificat au même titre qu'une opposition CB.
Après, le certificat sur clé USB (sans firefox ^^) est assez standard chez les fournisseurs de solutions (type keynectis, dictao, ...). La clé est conçue de telle manière que le certificat n'est ni copiable ni modifiable ; c'est aussi - et surtout - facile à utiliser, surtout en déplacement chez un client.
Au delà des certificats, les authent par empreintes sont à ma connaissance chères et rares.
Mais cela existe, par exemple chez eSmart : http://www.e-smart.com/products_ssc.html (exemple sur une carte de paiement)
En autres solutions tu as par exemple :
- la carte à puce sur laquelle est stockée le certificat (nécessitant un lecteur de carte...),
- la carte "bataille navale" (une carte avec série de chiffres, à partir de laquelle le site web te demande de saisir une combinaison aléatoire de chiffres présents sur ta carte). Plus contraignant à utiliser (la combinaison de chiffre à retrouver sur la carte change à chaque fois) mais plus simple techniquement (pas de certificat à gérer).
- le "certificat CD-ROM" qui est aussi testé. Cela consiste en un CD contenant une mini-application. Dès que le CD est lancé, il télécharge et se grave un certificat téléchargé de manière sécurisé sur serveur. Ensuite, le CD fait office de stockage du certificat, comme la clé.
- d'autres méthodes, dont une que j'ai vu cette semaine en veille : http://www.atelier.fr/banque-assur [...] 6116-.html
Sinon pour la petite histoire, je bosse chez CSA Consulting. On n'est pas dans la sécurité (nous sommes spécialisés banque / finance), mais j'ai en charge l'offre web : les problématiques de ce type sont donc assez courantes, surtout dans la banque !
Message édité par Juju- le 01-03-2008 à 21:50:33