Pourquoi les sites Web devraient saupoudrer de sel sur leurs hachages pour protéger vos mots de passe

[ware_item id=33][/ware_item]

Pourquoi les sites Web devraient saupoudrer de sel sur leurs hachages pour protéger vos mots de passe


Malgré leurs défauts, les mots de passe restent la norme de facto pour l'authentification sur le web.

ExpressVPN a déjà écrit sur les avantages de créer des mots de passe sécurisés à l'aide de Diceware, d'utiliser des gestionnaires de mots de passe et de créer une autre couche de sécurité autour de vos comptes avec une authentification à deux facteurs.

Mais que se passe-t-il en coulisses? Quelles mesures un opérateur de site Web peut-il et doit-il prendre pour sécuriser vos mots de passe?

La naissance du piratage informatique

Le premier système informatique à utiliser des mots de passe a été le système de partage du temps compatible du Massachusetts Institute of Technology, construit en 1960. Le partage du temps a permis à l'ordinateur d'être partitionné et utilisé comme plusieurs postes de travail..

Pourtant, il y avait plus de chercheurs que de postes de travail, et les utilisateurs disposaient d'un temps limité sur le système (que certains ont épuisé assez rapidement). Pour s'assurer que les chercheurs restent dans leurs limites, chacun s'est vu attribuer un mot de passe unique pour se connecter avec.

Mais, bien sûr, avec les premiers mots de passe est venu le premier pirate. Un chercheur, Allan Scherr, a utilisé un système qui permettait aux utilisateurs d'imprimer des fichiers via des cartes perforées (les ordinateurs n'avaient pas d'écran dans les années 1960). Scherr a localisé et imprimé le fichier qui stockait les mots de passe, lui permettant de se connecter en tant que d'autres utilisateurs et d'utiliser l'ordinateur plus longtemps.

Aujourd'hui, il est considéré comme une négligence grave de stocker les mots de passe en texte clair sur un système, bien que le piratage en 2016 du site de médias sociaux russe VK.com montre que certains grands sites le font encore. Les mots de passe VK.com de 100 millions d'utilisateurs ont été volés et sont maintenant en vente.

Pourquoi les fonctions de hachage sont une voie à sens unique

Une fonction de hachage est un cryptage unidirectionnel et agit un peu comme une empreinte digitale. Chaque fichier, mot ou chaîne de texte est désigné par une «empreinte digitale» de hachage, qui identifie de manière unique le contenu exact du fichier d'origine.

Les hachages peuvent être utilisés pour déterminer les informations, mais pas ce que les données représentent. Une façon simple d'imaginer le fonctionnement des hachages est d'utiliser les sommes des chiffres (la somme de tous les chiffres d'un nombre).

La somme des chiffres de 9807347 est 9 + 8 + 0 + 7 + 3 + 4 + 7 = 38

Bien qu'il soit facile de voir la somme des chiffres de 987347 est 38, il est impossible de calculer 987347 à partir du nombre 38.

Mots de passe sécurisés avec des hachagesSHA-256 hachages pour diverses chaînes de texte et un fichier image.

SHA-256 offre un univers de permutations

Incroyablement, 256 bits est une sortie suffisamment longue pour identifier de manière unique chaque atome dans l'univers observable (2 ^ 256 = 1,157920892 × 10⁷⁷).

Bien qu'en théorie, il puisse y avoir deux valeurs différentes qui ont toutes les deux le même hachage SHA-256. Un tel événement est appelé collision de hachage, et la sécurité de toute fonction de hachage repose sur le fait qu’elles ne sont pas détectables.

Le prédécesseur de SHA-2 (dont SHA-256 est une variante) - l'algorithme SHA-1 autrefois populaire - est connu pour être vulnérable aux collisions de hachage. Même si cela vaut la peine d'être noté, personne n'en a jamais trouvé un.

Un autre hachage autrefois populaire, MD5, avait tellement de vulnérabilités qu'il ne constitue pas une défense utile contre la falsification malveillante de fichiers.

Outre le cryptage des mots de passe, les fonctions de hachage peuvent également être utiles pour garantir que les fichiers n'ont pas été falsifiés, comme les signatures cryptographiques, car une chaîne de texte modifiée modifiera la clé de hachage.

Le stockage des mots de passe sous forme de hachages, plutôt que du texte clair, permet de vérifier qu'un mot de passe est correct sans laisser le mot de passe vulnérable aux pirates.

Le sel et le hachage protègent vos mots de passe

Si quelqu'un était capable de pirater une base de données qui ne contenait que des mots de passe hachés, en théorie, il n'obtiendrait aucune information utile. En réalité, cependant, les gens réutilisent leurs mots de passe sur de nombreux sites ou y utilisent des mots courants, et il y a beaucoup de choses qu'un pirate peut faire pour casser les hachages.

Chaque hachage SHA-256 du mot ExpressVPN est toujours le même, sur tous les systèmes. Donc, si votre nom d'utilisateur est Lexie et que vous utilisez ExpressVPN comme mot de passe (non), un pirate pourrait rechercher le hachage «c9f45… 3d185» parmi les mots de passe pour voir le mot de passe de Lexie est ExpressVPN.

Bien que cela ne semble pas particulièrement utile en soi, il existe des listes des quelques milliers de mots de passe les plus utilisés (que nous connaissons des hacks précédents).

En utilisant une telle liste, un pirate pourrait rechercher les hachages des mots de passe courants et les faire correspondre aux noms d'utilisateur.

Ce type d'attaque est appelé attaque arc-en-ciel ou dictionnaire. Il n'y a pas assez de temps dans l'univers pour qu'un attaquant puisse essayer toutes les combinaisons possibles de hachage / mot de passe dans une attaque par force brute. Mais il reste suffisamment de temps pour essayer les mots de passe les plus utilisés, ce qui compromettrait probablement une partie importante de la base de données.

Le salage protège les mots de passe en leur attribuant des numéros uniques

Pour se protéger contre les attaques par dictionnaire, un administrateur de base de données peut utiliser une méthode appelée «salage», où chaque mot de passe se voit attribuer un numéro aléatoire unique. Un hachage SHA-256 de la combinaison de sel et de mot de passe est ensuite calculé, stocké et vérifié.

Alternativement, le mot de passe peut être haché, combiné avec le numéro de sel, et le résultat haché à nouveau.

Les hachis salés ajoutent une protection supplémentaireExemples de hachages «salés», hachés à nouveau.

En raison de la technique de salage, la création d'une table arc-en-ciel n'est plus attrayante. Les nombres aléatoires rendraient chaque hachage unique, même si l'utilisateur n'a pas choisi un mot de passe unique.

Si un pirate voulait cibler les utilisateurs avec le mot de passe "Passw0rd!", Le nombre de sel garderait la base de données en sécurité.

L'avenir des systèmes de mots de passe

Les mots de passe sont loin d'être optimaux pour l'authentification en ligne. Un bon est difficile à retenir, ils sont difficiles à révoquer, et une fois qu'ils fuient, ils peuvent causer des dommages considérables.

Les gestionnaires de mots de passe peuvent rendre les mots de passe plus conviviaux et vous aider à en créer des uniques. Ils vous encourageront également à modifier régulièrement vos informations de connexion, ce qui est nécessaire pour une bonne sécurité en ligne..

Peut-être qu'à l'avenir, nous passerons à d'autres formes d'authentification, telles que des paires de clés publiques / privées, éventuellement combinées avec des clés matérielles. Dans un tel modèle, vous n'auriez besoin de télécharger votre clé publique qu'une seule fois sur un serveur lors de votre inscription, puis plus jamais.

Bien qu'elles ne soient pas nécessairement plus sûres qu'une solution de mot de passe correctement implémentée, les paires de clés publiques / privées sont moins susceptibles d'être incorrectement appliquées par l'utilisateur et le service.

Ce que vous pouvez faire pour sécuriser vos mots de passe

Sachez que bon nombre des services que vous utilisez aujourd'hui ont peut-être déjà perdu le contrôle de vos mots de passe. Peut-être qu'ils ne le savent pas encore, ou peut-être qu'ils refusent de le reconnaître publiquement — protéger leur image au détriment de la sécurité de leurs utilisateurs.

Utilisez un générateur de mots de passe aléatoires et changez vos mots de passe en longues chaînes aléatoires de lettres et de caractères. Vous pouvez également activer l'authentification à deux facteurs sur certains services pour ajouter une couche de sécurité supplémentaire.

C'est également une bonne idée de supprimer tous les comptes que vous n'utilisez plus, dans l'espoir que le service supprime vos données utilisateur avec elles..

Pourquoi les sites Web devraient saupoudrer de sel sur leurs hachages pour protéger vos mots de passe
admin Author
Sorry! The Author has not filled his profile.