Zero-email account recovery demo — test the protocol locally
Une passphrase diceware (L1) est générée côté serveur. Ton mot mémorisé (L2) est HMAC-dérivé dans le navigateur — le mot brut ne quitte jamais ta machine. À la création, tu reçois 10 codes de récupération (facteur possession de L2), affichés une seule fois.
Authentification classique : nom d'utilisateur + mot de passe.
Saisis ton nom d'utilisateur et la passphrase diceware notée à l'inscription. Tu obtiens un nouveau mot de passe.
Tout est calculé dans le navigateur — aucune passphrase ne quitte cette page. Convention SelfRecover : wordlist officielle 7 776 mots, CC-BY 3.0 (EN = EFF Large Wordlist ; FR = équivalent ArthurPons) — jamais de mini-version "pour la démo".
La méthode originelle du diceware. Les dés physiques produisent une entropie cryptographique au moins équivalente à celle d'un RNG logiciel — et supérieure en modèle de confiance, car elle ne dépend d'aucun ordinateur.
11111 à 66666) —
EFF pour l'EN, ArthurPons pour le FR. Imprime-la si possible.
32145.
Cherche-le dans la table → tu trouves UN mot précis (ex: 32145 → horseshoe).
Pas de dés sous la main ? Le navigateur peut générer une passphrase
via crypto.getRandomValues() avec rejection sampling sur
la wordlist EFF. Entropie strictement équivalente à
la méthode physique sur la passphrase elle-même, sous réserve de
confiance dans le RNG OS / navigateur.
N mots EFF + suffixe libre. L'entropie totale = entropie diceware + entropie zxcvbn du suffixe.
Hypothèse de l'attaquant pour le temps de cassage : 10¹² essais/seconde (cluster GPU haut de gamme, hash hors ligne). Sources : EFF Diceware, zxcvbn.
Passphrase (L1) perdue ? Récupère avec ton mot mémorisé + un code de récupération — sans identifiant (le code localise ton compte). Le mot est HMAC-dérivé dans le navigateur, jamais envoyé en clair. Ouvre la console DevTools pour voir la dérivation.
Aucun secret demandé. Réponds au mieux de ta mémoire — chaque réponse correcte renforce le faisceau vu par l'administrateur.
— chat administrateurUn administrateur examine ta demande et te répond ici. Échange avec lui pour prouver ton identité.
L'administrateur a confirmé ton identité. Définis toi-même tes nouveaux secrets — le serveur ne reçoit jamais de mot de passe par le chat.