[ad_1]

Presque chaque semaine, j’entends parler d’un lecteur indigné qui soupçonne une violation de données sur un site Web qu’il fréquente et qui vient de demander au lecteur de réinitialiser son mot de passe. Une enquête plus approfondie révèle presque invariablement que la demande de réinitialisation du mot de passe n’était pas le résultat d’une violation, mais plutôt des efforts du site pour identifier les clients qui réutilisent les mots de passe d’autres sites qui ont déjà été piratés.

Mais ironiquement, de nombreuses entreprises prenant ces mesures proactives découvrent rapidement que leur explication des raisons pour lesquelles elles le font peut être interprétée à tort comme une preuve supplémentaire d’un laxisme en matière de sécurité. Ce message tente de démêler ce qui se passe ici.

Au cours du week-end, un abonné sur Twitter m’a inclus dans un tweet envoyé à un site de recherche d’emploi basé en Californie Porte en verre qui venait de lui adresser l’avis suivant :

Le suiveur de Twitter a exprimé son inquiétude à propos de ce message, car il lui suggérait que pour que Glassdoor ait fait ce qu’il décrivait, l’entreprise aurait dû stocker les mots de passe de ses utilisateurs en texte brut. J’ai répondu que ce n’était en fait pas une indication de stockage des mots de passe en texte brut, et que de nombreuses entreprises testent maintenant les informations d’identification de leurs utilisateurs par rapport à des listes d’informations d’identification piratées qui ont été divulguées et mises à disposition en ligne.

La réalité est que Facebook, Netflix et un certain nombre de grandes entreprises passent régulièrement au peigne fin d’énormes fuites de données pour trouver des informations d’identification qui correspondent à celles de leurs clients, puis forcent une réinitialisation du mot de passe pour ces utilisateurs. Certains vérifient même la réutilisation du mot de passe sur toutes les nouvelles inscriptions de compte.

L’idée ici est de contrecarrer un problème massivement omniprésent auquel sont confrontés tous entreprises qui font des affaires en ligne aujourd’hui : à savoir les « attaques de bourrage d’informations d’identification », dans lesquelles les attaquants prennent des millions, voire des milliards d’adresses e-mail et les mots de passe piratés correspondants à partir de bases de données compromises et voient combien d’entre eux travaillent sur d’autres propriétés en ligne.

Alors, comment fonctionne la défense contre ce déluge quotidien de credential stuffing ? Une entreprise employant cette stratégie extraira d’abord de ces listes d’informations d’identification divulguées toutes les adresses e-mail qui correspondent à sa base d’utilisateurs actuelle.

À partir de là, les mots de passe craqués (texte brut) correspondants sont introduits dans le même processus sur lequel l’entreprise s’appuie lorsque les utilisateurs se connectent : c’est-à-dire que l’entreprise alimente ces mots de passe en texte brut via sa propre routine de « hachage » ou de brouillage des mots de passe.

Le hachage de mot de passe est conçu pour être une fonction à sens unique qui brouille un mot de passe en texte brut afin qu’il produise une longue chaîne de chiffres et de lettres. Toutes les méthodes de hachage ne sont pas créées égales, et certaines des méthodes les plus couramment utilisées — MD5 et SHA-1, par exemple – peuvent être beaucoup moins sécurisés que d’autres, selon la façon dont ils sont implémentés (plus à ce sujet dans un instant). Quelle que soit la méthode de hachage utilisée, c’est la sortie hachée qui est stockée, pas le mot de passe lui-même.

Revenons au processus : si le mot de passe en texte brut d’un utilisateur provenant d’une base de données piratée correspond à la sortie de ce qu’une entreprise s’attendrait à voir après l’avoir exécuté via son propre processus de hachage interne, cet utilisateur est alors invité à changer son mot de passe pour quelque chose de vraiment unique.

Désormais, les méthodes de hachage de mot de passe peuvent être rendues plus sûres en modifiant le mot de passe avec ce qu’on appelle un « sel » – ou des données aléatoires ajoutées à l’entrée d’une fonction de hachage pour garantir une sortie unique. Et de nombreux lecteurs du fil Twitter sur l’approche de Glassdoor ont estimé que l’entreprise n’aurait pas pu faire ce qu’elle décrivait sans renoncer également à cette couche de sécurité supplémentaire.

Mon réponse explicative tweetée quant à la raison pour laquelle Glassdoor faisait cela était (avec le recul) incomplète et en tout cas pas aussi claire qu’elle aurait dû l’être. Heureusement, le directeur de l’information de Glassdoor Anthony Moisant intervint au fil Twitter pour expliquer que le sel est en fait ajouté dans le cadre de la procédure de test de mot de passe.

« Dans notre [user] base de données, nous avons trois colonnes – nom d’utilisateur, valeur de sel et hachage scrypt », a expliqué Moisant dans une interview avec BreachTrace. « Nous appliquons le sel stocké dans la base de données et le hachage [function] au mot de passe en texte brut, et cette valeur résultante est ensuite vérifiée par rapport au hachage dans la base de données que nous stockons. Pour une raison quelconque, certaines personnes se sont mis dans la tête qu’il n’y a aucun moyen de faire ces vérifications si vous salez, mais ce n’est pas vrai.

VÉRIFIEZ VOS HYPOTHÈSES

On ne peut pas s’attendre à ce que vous – l’utilisateur – sachiez ou contrôliez les méthodes de hachage de mot de passe utilisées par un site donné, si en effet ils les utilisent du tout. Mais vous pouvez contrôler la qualité des mots de passe que vous choisissez.

Je ne saurais trop insister sur ce point : ne réutilisez pas les mots de passe. Et ne les recyclez pas non plus. Le recyclage implique des tentatives plutôt boiteuses pour rendre unique un mot de passe réutilisé en ajoutant simplement un chiffre ou en modifiant la casse de certains caractères. Les escrocs spécialisés dans les attaques par mot de passe sont également avisés de cette approche.

Si vous avez du mal à vous souvenir de mots de passe complexes (et cela décrit la plupart des gens), envisagez plutôt de vous fier à la longueur du mot de passe, qui est un facteur beaucoup plus important pour déterminer si un mot de passe donné peut être déchiffré par les outils disponibles dans un délai raisonnablement utile à un attaquant.

Dans cette veine, il est plus sûr et plus sage de se concentrer sur la sélection de phrases secrètes plutôt que sur des mots de passe. Les phrases de passe sont des collections de plusieurs mots (idéalement sans rapport) mélangés ensemble. Les phrases secrètes ne sont pas seulement généralement plus sûres, elles ont également l’avantage supplémentaire d’être plus faciles à mémoriser.

Selon une entrée de blog récente par Microsoft responsable des programmes de groupe Alex Weinertaucun des conseils ci-dessus sur la complexité des mots de passe ne représente une montagne de haricots du point de vue de l’attaquant.

Le message de Weinert présente un argument convaincant selon lequel tant que nous sommes coincés avec des mots de passe, tirer pleinement parti de la forme la plus robuste de authentification multi-facteurs (MFA) proposé par un site que vous fréquentez est le meilleur moyen de dissuader les attaquants. 2fa.répertoire a une liste pratique de vos options ici, ventilées par industrie.

« Votre mot de passe n’a pas d’importance, mais MFA oui », a écrit Weinert. « Sur la base de nos études, votre compte est plus de 99,9 % moins susceptible d’être compromis si vous utilisez MFA. »

Moisant de Glassdoor a déclaré que la société n’offrait pas actuellement de MFA à ses utilisateurs, mais qu’elle prévoyait de le déployer plus tard cette année pour les utilisateurs grand public et professionnels.

Les gestionnaires de mots de passe peuvent également être utiles pour ceux qui se sentent gênés par la nécessité de trouver des phrases secrètes ou des mots de passe complexes. Si vous n’êtes pas à l’aise de confier à un service ou à une application tiers le soin de gérer ce processus pour vous, il n’y a absolument rien de mal à noter vos mots de passe, à condition a) que vous ne les stockiez pas dans un fichier sur votre ordinateur ou que vous ne les enregistriez pas sur votre ordinateur portable ou un écran ou quoi que ce soit, et b) que votre carnet de mots de passe est stocké dans un endroit relativement sûr, c’est-à-dire pas dans votre sac à main ou votre voiture, mais quelque chose comme un tiroir ou un coffre-fort verrouillé.

Bien que de nombreux lecteurs me reprocheront sans aucun doute ce dernier conseil, comme dans tout ce qui concerne la sécurité, il est important de ne pas laisser le parfait devenir l’ennemi du bien. Beaucoup de gens (pensez aux mamans/papas/grands-parents) ne peuvent pas se donner la peine d’utiliser des gestionnaires de mots de passe, même lorsque vous vous donnez la peine de les configurer en leur nom. Au lieu de cela, sans une méthode plus simple et non technique, ils reviendront simplement à la réutilisation ou au recyclage des mots de passe.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *