Outils d'utilisateurs

Outils du Site


mots_de_passe










Comment les mots de passe sont-ils compromis ?

Les mots de passe sont souvent compromis hors ligne en cassant leur hachage. Pratiquement tous les mois, un énorme site Web avec des millions d'utilisateurs se fait piraté et ça base de données rendue publique ou vendue au plus offrant. La plus grande base de données à ce jour de mot de passe est RockYou.

Les crackers utiliseront leurs outils qui généreront des milliers d'essais par seconde contre les mots de passe hachés pour les démasquer. À partir de ça, ils vont apprendre plusieurs choses:

  • Quels sont les mots de passe les plus courants.
  • Quelles stratégies les gens utilisent pour essayer de durcir leurs mots de passe (en ajoutant par exemple des chiffres à la fin).
  • Combien de mots de passe uniques sont utilisés.

Une fois que les mots de passe de la base de données sont démasqués, les crackers ont désormais une vision plus précise dans la façon dont les utilisateurs choisissent leurs mots de passe, et donc, adapté une meilleure stratégie pour compromettre encore plus de mots de passe.

Une technique courante pour démasquer les mots de passe consiste à effectuer une attaque par dictionnaire, qui tentera chaque entrée d'une liste de mots personnalisée ( «dictionnaire»). Cela pourrait être le Dictionnaire anglais d'Oxford, une liste de mot les plus recherché dans Google, une liste de mot de passe précédemment démasqué dans une autre base de donnée, ou n'importe quoi d'autre… les dictionnaires sont bien, car souvent constituer de:

  • phrases secrètes.
  • Les mêmes mots, mais avec des numéros à la fin.
  • Des mots avec des symboles avant/après/ou entre.
  • Des mots en l337 sp34k.
  • Des mots auxquels vous n'auriez pas pensé.

Choisir un bon mot de passe

Il existe deux types de mots de passe:

  • les mots de passe réguliers, que vous conservez dans un gestionnaire de mot de passe.
  • les phrases secrètes, qui sont des chaînes plus longues à utiliser dans les endroits les plus importants, par exemple pour protéger la base de données de votre gestionnaire de mot de passe ou pour déverrouiller votre disque chiffré.

Les meilleures phrases secrètes sont générées avec Diceware qui consiste à rouler un dé pour sélectionner des mots aléatoires qui construiront une longue phrase secrète. Cela produit des phrases secrètes que vous pouvez mémoriser, et que les attaquants ne peuvent pas deviner (facilement).

Le reste de vos mots de passe, dont la plupart seront pour des sites web, doivent être générés et stockés dans un gestionnaire de mot de passe.

1> Notez que pour que ce soit le cas, le gestionnaire doit vraiment être hors ligne (contrairement, par exemple a LastPass qui est en ligne).

Gestionnaires de mot de passe

Certains gestionnaires stockent vos mots de passe dans le cloud, ce qui en fait une cible colossale pour les hackers, laisser reposer votre confiance dans les compétences de l'administrateur de ses services n'est pas une bonne idée. Quelques exemples de site non recommandé incluent LastPass et 1Password.

Dans la catégorie des bon gestionnaires de mots de passe, on peut citer KeePass2. Le logiciel crée une archive chiffrée avec AES 256 CBC, dans laquelle il stocke les mots de passe. La clé de chiffrement est dérivée d'un mot de passe maître et éventuellement d'un fichier clé.

KeePass2 dispose d'un générateur de mot de passe fort, qui est entièrement configurable.

Il est également à noter que la version 2.10 portable de KeePass a été certifiée CSPN en 2011.

Mauvaises stratégies de mot de passe

Ne faites pas ça:

  • Moins de 10 caractères
  • Minuscule uniquement
  • Mots du dictionnaire
  • Noms, équipes de sports, nom de votre animal de compagnie, référence de films.

Ou ça:

  • Réutiliser le même mot de passe dans deux (ou plusieurs) endroits différents.
  • Réutiliser le même mot de passe avec de légères modifications pour chaque endroit où il est utilisé.
  • Partager un mot de passe avec quelqu’un.
  • Utilisé un mot de passe/phrase chiffré: Cela peut vous faire un mot de passe d'une longueur correct, mais tant qu'a utilisé un outil, pourquoi ne pas utiliser un outil spécifique pour faire de bons mots de passe?

Si vous êtes sceptique sur l'habileté des passcrackers, unhash est un discours fait fin 2014 expliquant l'état actuel du cassage des mots de passe.
Interview d'Hydraze, passcracker depuis 4 ans.

Échecs notables en sécurité

Outils de récupération de mot de passe

  • oclHashcat Casseur de mot de passe multi-plateforme via accélération GPU (OpenCL ou CUDA)
  • John the Ripper (JtR) Casseur de mot de passe multi-plateforme.
  • Cain & Abel Casseur de mot de passe pour les systèmes d'exploitation Microsoft uniquement.
mots_de_passe.txt · Dernière modification: 2022/12/23 01:14 par Xylitol