Il y a quelques semaines, un rapport est sorti où [Tavis Ormandy], un chercheur en sécurité largement connu pour Google Project-Zero, a montré comment il était possible d’abuser des commandes Lastpass RPC et de voler les mots de passe des utilisateurs. L’ironie est… Lastpass est un logiciel conçu pour garder tous vos mots de passe en sécurité et il est conçu de manière à ce que même eux ne puissent pas accéder à vos mots de passe, les mots de passe sont stockés localement en utilisant une cryptographie forte, vous seul pouvez y accéder via une clé principale. Stocker tous vos mots de passe au seul endroit a ses inconvénients. Soit dit en passant, il n’y a aucune preuve ou suggestion que ce bogue ait été abusé par qui que ce soit, donc si vous utilisez Lastpass, ne vous inquiétez pas pour l’instant.

Mais cela m’a fait réfléchir, à quel point un internaute régulier devrait-il être inquiet et paranoïaque à propos de son mot de passe ? Combien d’entre nous voient les détails de leur compte exposés quelque part en ligne ? Si vous êtes là depuis assez longtemps, il y a de fortes chances que vous ayez au moins quelques comptes sur certaines grandes entreprises basées sur Internet. Ne vous précipitez pas sur le Dark Web et essayez de savoir si les détails de votre compte sont vendus. Le moyen le plus simple de déclencher votre paranoïa est de visiter Ai-je été pwned. Pour ceux qui n’en ont jamais entendu parler, c’est un site créé par [Troy Hunt], un professionnel de la sécurité bien connu. Il garde une trace de toutes les failles de sécurité publique connues sur lesquelles il peut mettre la main et fournit une réponse à une question simple : “Mon compte a-t-il fait l’objet d’une fuite de données majeure ?” Nous allons jeter un coup d’oeil.

Oui. Oui c’était. L’un de mes comptes les plus anciens était déjà impliqué dans 5 fuites majeures et 1 fuite mineure. Certains d’entre eux contiennent des informations assez sensibles (non, je n’avais pas de compte Ashley Madison). Le site Web prétend avoir connecté un nombre stupéfiant de 2,6 milliards de comptes. Remarquez le B dans le milliard. C’est plus de comptes que l’ensemble de la population humaine en 1950. Bien sûr, beaucoup de ces comptes se chevauchent et certains que j’ai examinés ne sont pas précis à 100 %, mais c’est toujours un nombre très élevé.

Ici, vous pouvez voir les dix meilleurs sites pour divulguer des mots de passe.

Est-ce que quelqu’un connaît mon mot de passe ?

Remarquerez que la brèche de Yahoo n’est pas là, ajoutez 1 milliard de comptes supplémentaires, plus 500 millions supplémentaires sur une autre violation de Yahoo. Cela signifie-t-il que les attaquants ont automatiquement mon mot de passe ? Eh bien, ce n’est pas si facile.

Lorsque vous créez un compte quelque part et envoyez vos données, votre mot de passe n’est pas (espérons-le) stocké en texte clair. Habituellement, il n’est pas stocké du tout, seulement une représentation de hachage irréversible de celui-ci. En un mot, au lieu de stocker le mot de passe en texte brut, une fonction de hachage cryptographique est utilisée pour calculer une valeur basée sur votre mot de passe et c’est la valeur qui est stockée. Il n’y a aucun moyen d’inverser le processus et d’obtenir le mot de passe à partir de la valeur stockée. Ce sont les bonnes nouvelles.

La mauvaise nouvelle est que la fonction de hachage choisie par le site Web peut être critique pour votre sécurité en cas de fuite de données et vous n’avez aucun contrôle sur cela. Malgré le fait qu’il n’existe aucun moyen pour un attaquant d’inverser une fonction de hachage cryptographique, il est assez facile de tester si un mot de passe donné correspond à une valeur de sortie de fonction de hachage donnée. Il s’agit d’un processus connu sous le nom de force brute ; un programme exécute toutes les combinaisons possibles de mots de passe via l’algorithme et les compare à la valeur de hachage divulguée. S’ils correspondent, ils connaissent votre mot de passe. C’est pourquoi des mots de passe plus longs avec plus de variété de caractères (ponctuation, majuscules, etc.) sont universellement recommandés – il est plus difficile de forcer brutalement.

À titre de référence, un attaquant avec une carte graphique AMD HD 5970 déjà obsolète pourrait forcer brutalement différentes implémentations de fonctions de hachage aux vitesses indiquées ici en millions d’essais par seconde.

Comme vous pouvez le constater, un site Web qui choisit la bonne fonction de hachage pour stocker ses mots de passe peut réduire considérablement la vitesse à laquelle une attaque par force brute peut s’exécuter de plusieurs ordres de grandeur (en cas de fuite). Ces chiffres représentent l’attaquant utilisant une seule carte graphique refroidie par ventilateur. Imaginez utiliser un centre de données, réfrigéré par 1,7 million de gallons d’eau, comme Centre de données NSA Utah. Mais ne nous attardons pas sur les attaques parrainées par l’État.

La fonction de hachage peut (et doit) être complétée en utilisant ce qu’on appelle un sel. Un sel est essentiellement un nombre aléatoire “ajouté” au mot de passe avant l’exécution de la fonction de hachage. Cela garantit que les mêmes mots de passe entraînent des valeurs de sortie de hachage différentes, de sorte que si un attaquant déchiffre un mot de passe donné dans une liste, les autres utilisateurs qui partagent ce mot de passe ne sont pas affectés puisque leur sel est différent. Cela ajoute une couche de sécurité supplémentaire.

Toutes les fuites ne se ressemblent pas en gravité. Par exemple, la fuite NetEase contenait des mots de passe en texte clair, à peu près aussi mauvais que possible. La fuite Yahoo contenait des hachages MD5. La fuite de LinkedIn contenait des mots de passe hachés SHA-1 dans lesquels aucun sel n’était utilisé. Les jours suivants, plus de 90 % de tous les mots de passe avaient été piratés. La fuite de Dropbox avait des noms d’utilisateur et des hachages salés de mots de passe, la moitié d’entre eux SHA1, l’autre moitié bcrypt, ce qui est plutôt bien compte tenu des circonstances. Le kilométrage de l’impact sur la sécurité des fuites varie beaucoup.

Alors que peux-tu faire? Ne fais confiance a personne.

Il est clair que vous ne pouvez faire confiance à aucun site Web lorsque vous fournissez votre mot de passe, car vous n’avez généralement aucun choix ni aucune connaissance sur la manière dont ils le géreront. Étant donné que vous ne pouvez imposer à aucun site Web de stocker votre mot de passe en toute sécurité, que pouvez-vous faire efficacement ? Eh bien, vous pouvez arrêter d’utiliser 123456 comme mot de passe. Et je ne veux pas non plus utiliser la version la plus sécurisée, 123456789. Toi! Oui toi!

Je sais, je sais, les lecteurs de Hackaday sont un public averti et n’ont sûrement pas choisi de mot de passe dans le 2016 mots de passe les plus courants mais si cet avertissement a fonctionné pour une personne, cela vaut déjà le jeu de mots. Il n’y a tout simplement aucun moyen de croire que 17% des personnes qui lisent ceci en ce moment les utilisent. Droit?

Peu importe la qualité des algorithmes et la manière dont ils sont utilisés, aucune sécurité ne peut protéger les utilisateurs contre eux-mêmes. Pouvez-vous répondre en toute honnêteté que vous n’avez jamais eu de mot de passe Top 25 ?

  • Ne choisissez pas de mots de passe évidents. Vraiment pas. Même si vous pensez que personne ne se soucie de vous ou de votre compte particulier et que vous ne serez jamais la cible d’un attaquant malveillant. Cela inclut les mots, les noms, les dates, les numéros de téléphone. Idéalement, utilisez des lettres minuscules/majuscules avec des chiffres de 10 caractères ou plus.
  • Ne choisissez pas non plus des réponses de sécurité évidentes. À quoi sert un mot de passe de 30 caractères lorsque votre question de sécurité est le nom de jeune fille de votre mère ?

Puisque vous ne pouvez pas contrôler la façon dont les mots de passe sont stockés, n’utilisez pas le même mot de passe pour tous vos comptes. Celui-ci peut devenir délicat. Il peut être difficile de se souvenir de ce mot de passe sécurisé supplémentaire, mais en avez-vous choisi un différent pour chaque compte ? C’est tout simplement trop difficile. Au cas où vous n’auriez pas de mémoire photographique, vous pouvez réduire le nombre de mots de passe dont vous devez vous souvenir en catégorisant vos comptes en différents types. Les comptes moins sensibles peuvent avoir un mot de passe plus facile à retenir, mais cela ne signifie pas que 123456 est acceptable.

  • Lorsque cela est possible, utilisez l’authentification à deux facteurs (2FA). Un nombre croissant de sites Web fournissent déjà 2FA, soit par e-mail, soit par SMS. Cela peut réduire considérablement l’impact d’un mot de passe volé/divulgué. Envisagez d’utiliser un jeton matériel dans des comptes critiques, comme Yubikey.
  • Vérifiez en ligne les fuites qui pourraient vous avoir affecté. Modifiez vos mots de passe en conséquence. Si vous l’avez utilisé sur plusieurs sites Web, ils doivent également être modifiés.

Certains disent d’utiliser un gestionnaire de mots de passe. Je dois avouer que je n’aime pas mettre tous mes œufs dans le même panier. Il présente des avantages et des inconvénients, vous devez absolument y réfléchir et prendre une décision éclairée si cela vous convient.

Mon conseil : faites votre propre truc

En écrivant cet article, je continue de penser bon sens. Mais le bon sens ne suffit pas. Travaillant dans le secteur de la sécurité, je sais à quel point il peut être difficile de mettre en œuvre une politique de mot de passe efficace dans une entreprise. C’est facile d’en parler en théorie, et pénible à aborder en pratique. Si vous le compliquez trop, vous commencerez à voir des post-it apparaître partout. Rendez les choses trop simples et les attaques par force brute réussies commenceront à apparaître comme des champignons.

Mon conseil est de passer du temps à réfléchir à vos mots de passe et de trouver votre propre truc. C’est quoi ton truc ? Pour certains, cela peut être la façon dont ils prononcent leurs lettres de mot de passe. Bien qu’il soit aléatoire, choisir des mots de passe avec une rime ou une musicalité lors de la lecture donne quelque chose qui reste dans votre tête. Pour d’autres, il pourrait s’agir de mots inventés depuis l’enfance. Ajoutez des chiffres que vous connaissez mais qui ne sont pas publics ou liés à votre personne. Choisissez votre propre signe ou caractère(s) de ponctuation à mélanger.

Je comprends que cela puisse sembler un peu vague, mais cela fonctionne. Pour que cela fonctionne, il a être vague, sinon c’est mon truc, pas le vôtre (et finira probablement par être codé quelque part dans les règles de John-the-Ripper). J’ai vu cette méthode transformer une salle de personnes en générateurs de mots de passe aléatoires en moins d’une demi-heure mais, comme tout, cela demande de la persévérance. Quoi qu’il en soit, mon conseil est le mien, je suis sûr que beaucoup d’entre vous ne sont pas d’accord avec la méthode.

Mémoire de poisson rouge

« Les bons mots de passe sont difficiles à mémoriser. Je vais juste les écrire sur un morceau de papier.

Eh bien, il y a pire à faire. Je veux dire, où mettez-vous votre carte de crédit ? Si vous ne pouvez vraiment pas le mémoriser, bien sûr, écrivez-le et gardez-le en sécurité, comme dans votre portefeuille. La partie la garder en sécurité est importante, vous ne laissez pas votre carte de crédit dans les lieux publics, n’est-ce pas ? Je parie que vous ne le collez pas non plus sous votre clavier. Il y a plus de quinze ans [Bruce Schneier] j’ai vu ça venir. Conservez une copie dans un endroit vraiment sûr, comme un vrai coffre-fort. Planifiez à l’avance afin que si quelqu’un vole votre portefeuille ou l’endroit où vous conservez vos mots de passe, vous puissiez les changer rapidement.

L’avenir

L’avenir des mots de passe et des mécanismes d’authentification globaux est largement débattu. Certains disent que les mots de passe sont morts et que l’avenir est à la biométrie. Hackaday a été connu pour s’y opposer. Certains, comme PayPal, disent que la biométrie traditionnelle n’est pas la solution, mais qu’une solution plus facile à utiliser, « Dispositif intégrable, injectable et ingérable », est idéale. Et si vous pouviez vous authentifier simplement en y pensant ? Et comment ces données identifiables uniques seraient-elles stockées ? Gagnerions-nous en sécurité ou échangerions-nous simplement les défis auxquels nous sommes confrontés actuellement contre un autre ensemble de défis ?

Dans tous les cas, rappelez-vous, “mot de passe” n’est pas un bon mot de passe.


Source link