Reset par email + mot mémorisé HMAC — palier d'adoption progressive
CONCEPTSelfRecover Lite conserve le canal email (compatible legacy) tout en éliminant
le risque "email intercepté = compte volé". À chaque reset, un mot mémorisé
choisi par l'utilisateur est requis en plus du lien dans l'email. La dérivée HMAC-SHA256
du mot mémorisé est calculée côté navigateur — le mot brut ne quitte jamais le poste de l'utilisateur.
Le mot mémorisé est dérivé HMAC-SHA256 côté navigateur avec le salt du domaine. Le mot brut n'est jamais transmis au serveur. Seule la dérivée (64 chars hex) est stockée hashée Argon2id.
Mot de passe oublié — demande de reset
Tu ne te souviens pas de ton mot de passe ? Saisis ton email. Un lien de réinitialisation sera "envoyé" (simulé dans la boîte ci-dessous pour la démo). Tu auras besoin de ton mot mémorisé pour valider.
Login
Connexion classique username + password. Pas de différence avec une auth standard à ce stade — le mot mémorisé sert uniquement à la reset.