Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
10 septembre 2016 6 10 /09 /septembre /2016 11:28
Photo par https://pixabay.com/en/users/TheDigitalWay-3008341/

Photo par https://pixabay.com/en/users/TheDigitalWay-3008341/

Je ne prétends pas être un pro de la sécurité mais je voudrais vous expliquer pourquoi il est si difficile de choisir un mot de passe qui résiste. Je ne vais pas vous parler de la gestion des mots de passe et des problèmes qui en découlent mais simplement du cas où le site où vous vous êtes inscrit s'est fait hacker et où les mots de passe ont été dérobés.

Quelqu'un a donc volé les mots de passe (dont le vôtre) d'un site et ceux-ci sont protégés par un chiffrement. Deux options s'offrent à lui: faire une attaque par dictionnaire ou faire une attaque par force brute. Notez également que ce type de fichier se revend, il y aura donc probablement plusieurs personnes qui essaieront de trouver votre mot de passe.

L'attaque par dictionnaire consiste à prendre tous les mots d'un dictionnaire et à essayer de les transformer avec des règles. Pour vous donner une idée de règle simple: prendre un mot, mettre la première lettre en majuscule et rajouter un chiffre à la fin. Pour échapper à une attaque par dictionnaire, il faut donc ne pas avoir un mot qui soit ou ressemble à celui d'un dictionnaire en utilisant ces règles et c'est là que ça se corse.

Au milieu des années 2000, un site aux états unis s'est fait voler plusieurs millions de mots passe et catastrophe... ils n'étaient pas chiffrés. De ce fichier, les hackers ont créé des règles de transformation de mots de passe qui sont basées sur les comportements humains de mémorisation. Quand on utilise ces règles sur un fichier classique, elles déchiffrent beaucoup de mots de passe quasi instantanément.

Il faut également aussi savoir qu'il existe des fichiers de mots de passe crackés qui circulent sur Internet. Quand le vôtre est trouvé, il rejoint une liste et devient inutilisable.

La conséquence c'est qu'il vaut mieux éviter d'utiliser un mot de passe construit sur un mot du dictionnaire ou un ancien mot de passe avec des règles qui vous permettent de le mémoriser facilement.

L'attaque par force brute est plus basique: le programme va simplement essayer d'utiliser toutes les lettres et chiffres (voire tous les symboles) de votre clavier pour trouver votre mot de passe. Ça a l'air extrêmement inefficace à premier vue... mais la puissance des ordinateurs allant grandissante, des mots de passe qui étaient difficile à trouver il y a 5 ans ne le sont plus actuellement...

L'ANSSI propose une page pour évaluer la sécurité de votre mot de passe. Rappeler vous également que cette sécurité diminue avec les progrès en informatique. Vous pouvez voir sur cette page que l'ANSSI recommande à l'heure actuelle pour une sécurité moyenne des mots de passe de 16 caractères alphanumériques (l'alphabet tout minuscule ou majuscule ET chiffres).

Notez au passage le mot de passe que vous demande votre banque pour vous connecter.

En conséquence, si vous voulez que votre mot de passe résiste à une attaque dictionnaire et un brute force, il vous faut 16 caractères alphanumériques sans moyen mnémonique.

Dans une société où nous sommes poussés à la facilité pour enregistrer nos mots de passe et à tout avoir en un click, mémoriser 16 caractères est contrenaturel et il existe une autre possibilité, celle de la phrase de passe.

Au lieu de prendre des lettres au hasard, on choisit 4 ou 5 mots du dictionnaire au hasard (ou presque) de manière à former une phrase de plus de 20 caractères tout en minuscule. Prenez des noms, des adjectifs, des verbes peut-être conjugués, variez les langues, l'important c'est qu'il n'y ait pas de sens à votre petite suite de mot pour ne pas retomber dans le piège de l'attaque par dictionnaire. C'est long à taper mais on peut mémoriser facilement une suite de 4 mots.

Voilà brièvement ce que je peux conseiller pour avoir au moins un mot de passe qui résiste. Malheureusement, ce n'est pas une protection absolue: si par exemple, un site se fait hacker et qu'il stockait votre mot de passe en clair, il est grillé.

Pour pouvoir créer une stratégie de gestions mot de passe, il faut avoir quelques notions de sécurité mais ça se sera l'objet d'un autre article.

Partager cet article

Repost 0

commentaires

Présentation

  • : Apories
  • Apories
  • : Essais de réflexion sur notre société actuelle. RSS: http://feeds.feedburner.com/over-blog/qdQl
  • Contact

Recherche

Liens