Tout sur les mots de passe : Différence entre versions
(→Vol de mots de passe) |
(→Liens utiles) |
||
(4 révisions intermédiaires par un utilisateur sont masquées) | |||
Ligne 60 : | Ligne 60 : | ||
Les '''10''' techniques utilisées pour obtenir des mots de passe | Les '''10''' techniques utilisées pour obtenir des mots de passe | ||
# '''Force Brute''' : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue. | # '''Force Brute''' : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue. | ||
− | # '''Ingénierie sociale''' : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir | + | # '''Ingénierie sociale''' : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir identifiants et mots de passe. |
# '''Interception''' : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur. | # '''Interception''' : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur. | ||
− | # '''[[Phishing]] : L'[[hameçonnage]] consiste à faire trouver le moyen de faire saisir le | + | # '''[[Phishing]]''' : L'[[hameçonnage]] consiste à faire trouver le moyen de faire saisir le mot de passe' d'un usager soit par email soit sur un site qui en copie un autre. Le Phishing est souvent consécutif à des emails très pressant qui semblent émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration. |
− | # '''Vol''' : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou | + | # '''Vol''' : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou Post-it qui peuvent être collées au niveau d'un '''[[moniteur]]''' ou d'un '''[[clavier]]'''. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un mot de passe ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé. |
− | # '''Observation''' : Observer une personne entrant son | + | # '''Observation''' : Observer une personne entrant son mot de passe est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable. |
− | # '''[[Keylogging]]''' : Cette technique peut être | + | # '''[[Keylogging]]''' : Cette technique peut être logicielle ou matérielle. Elle consiste à installer à l'insu d'un utilisateur, un programme ou un dongle (généralement au niveau de la connectique du clavier), qui mémorisera tout ce qui est saisi. Les dongles clavier sont inopérant contre les mots de passe entrés à l'aide de la souris comme c'est le cas sur de nombreux site bancaire. |
− | # '''Recherche''' : Les recherches sur | + | # '''Recherche''' : Les recherches sur PC ou sur le net sont une source notoire de mots de passe. Sur un ordinateur une simple recherche sur "password", "login", "identifiant", "MDP" ou "mot de passe" peut déjà apporter son lot de découverte. Les navigateurs qui mémorisent les mots de passe sont aussi une source importante. Par exemple, sur Chrome, la commande ('''about://settings/passwords''') en donne la liste en deux clics ! Sur Internet il existe une foule de variantes permettant d'aboutir à la collecte de mots de passe. En automatisant les recherches, la collecte peut s'avérer rapidement fructueuse. |
# '''Déduction''' : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : '''[[prénom]]''' du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc. | # '''Déduction''' : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : '''[[prénom]]''' du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc. | ||
− | # '''Duplication''' : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres | + | # '''Duplication''' : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres sites avec les mêmes identifiants. |
<br/> | <br/> | ||
Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité : | Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité : | ||
Ligne 78 : | Ligne 78 : | ||
* Protection de l'accès aux mots de passe des navigateurs avec un code d'accès comme le propose '''[[Microsoft]]''' sur Windows | * Protection de l'accès aux mots de passe des navigateurs avec un code d'accès comme le propose '''[[Microsoft]]''' sur Windows | ||
− | = Articles | + | = Articles Vulgum Techus = |
* [[mot de passe]] | * [[mot de passe]] | ||
* [[phishing]] | * [[phishing]] | ||
+ | * [[keylogger]] | ||
+ | * [[clavier]] | ||
+ | * [[souris]] | ||
− | = | + | = Liens utiles = |
* [https://57un.wordpress.com/2013/03/09/a-big-password-cracking-wordlist A BIG password cracking wordlist] Une bibliothèque de '''1,5 milliard''' de mots de passe | * [https://57un.wordpress.com/2013/03/09/a-big-password-cracking-wordlist A BIG password cracking wordlist] Une bibliothèque de '''1,5 milliard''' de mots de passe | ||
Ligne 88 : | Ligne 91 : | ||
* [https://motherboard.vice.com/fr/article/newag7/un-hacker-allemand-nous-explique-comment-creer-un-mot-de-passe-en-beton-arme Vice Motherboard - 27/06/17] Un hacker '''[[allemand]]''' nous explique comment créer un mot de passe en béton armé | * [https://motherboard.vice.com/fr/article/newag7/un-hacker-allemand-nous-explique-comment-creer-un-mot-de-passe-en-beton-arme Vice Motherboard - 27/06/17] Un hacker '''[[allemand]]''' nous explique comment créer un mot de passe en béton armé | ||
* [https://www.welivesecurity.com/2013/08/27/even-long-passwords-can-be-cracked-quickly-as-hashcat-app-upgrades we live security - 27/08/13] Long '''[[passwords]]''' don’t offer “safe option” as cracker app upgrades | * [https://www.welivesecurity.com/2013/08/27/even-long-passwords-can-be-cracked-quickly-as-hashcat-app-upgrades we live security - 27/08/13] Long '''[[passwords]]''' don’t offer “safe option” as cracker app upgrades | ||
− | * [https://www.panoptinet.com/ | + | * [https://www.panoptinet.com/cybersecurite-decryptee/en-2013-90-des-mots-de-passe-seront-vulnerables.html Panoptinet - 05/03/13] En 2013, 90% des mots de passe seront vulnérables |
* [https://www.tomsguide.fr/actualite/mot-passe-code-pin-password,20392.html Tom's Guide - 05/03/13] Et le meilleur code secret à 4 chiffres est... | * [https://www.tomsguide.fr/actualite/mot-passe-code-pin-password,20392.html Tom's Guide - 05/03/13] Et le meilleur code secret à 4 chiffres est... | ||
* [https://www.tomsguide.fr/actualite/mot-passe-cluster-securite-craquage,19390.html Tom's Guide - 10/12/12] L'effrayante machine à cracker les mots de passe | * [https://www.tomsguide.fr/actualite/mot-passe-cluster-securite-craquage,19390.html Tom's Guide - 10/12/12] L'effrayante machine à cracker les mots de passe |
Version actuelle en date du 22 février 2020 à 23:00
Lien court vers cette page : https://vt.cx/mdp1 QR code vers cette page : https://vt.cx/mdp1.qr
Sommaire
Présentation
Les mots de passe sont d'indispensables auxiliaires de la sécurité en général et informatique en particulier. Entre paranoïa et laxisme, il y a une juste mesure que cette rubrique servira à définir avec le plus de précision possible. Il n'est pas question ici d'entrer dans la cryptographie alors que d'autres sites spécialisés le font très bien mais de donner les outils pour une maîtrise sereine du concept de mot de passe et de tout ce qui concoure à la faciliter.
Anatomie d'un mot de passe
Le mot de passe est une suite de caractères plus ou moins longue et dont les composantes sont plus où moins nombreux :
- Longueur de 1 à N éléments (en pratique rarement plus de 20)
- Composants d'un mot de passe :
- Chiffres : de 0 à 9 soit 10 combinaisons par éléments
- Lettres : de a à z & de A à Z soit 26 combinaisons par éléments si le programme est insensible à la casse (à savoir a=A) ou 52 combinaisons si le programme y est sensible (a<>A)
- Lettres spéciales : lettres accentuées, ç, ñ soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
- Signes spéciaux : /-?*+-)%@{] soit un nombre variable de combinaisons dépendant du nombre de caractères entrant en compte
On constate que le nombre de combinaisons est extrêmement variable et dépend du nombre de caractères autorisés dans la composition du mot de passe :
- Chiffres uniquement : 10^N ou N = nombre d'éléments ainsi un code de carte bancaire comprend 4 éléments → nombre de combinaisons = 10^4 soit 10.000 (0000 à 9999)
- Lettres uniquement + casse indifférenciée : 26^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 26^4 soit 456.976
- Chiffres + lettres + casse indifférenciée : 36^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 36^4 soit 1.679.616
- Lettres uniquement + casse différenciée : 52^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 52^4 soit 7.311.616
- Chiffres + lettres + casse différenciée : 62^N ou N = nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 62^4 soit 14.776.336
- Chiffres + lettres + accents + signes spéciaux : 200^N ou N=nombre d'éléments ainsi un mot de passe de 4 éléments → nombre de combinaisons = 200^4 soit 1.600.000.000
On comprend donc, nombres à l'appui, qu'entre un code à 4 chiffres de carte bancaire et celui d'un site ou d'un programme autorisant la quasi-totalité des caractères le nombre de combinaisons varie considérablement et qu'un code avec lettres, chiffres, signes spéciaux semble très sûr ce qui n'est pas forcément le cas pour des raisons qui vont suivre.
Stratégie pour construire des mots de passe
Sachant l'intérêt qu'il y a à faire participer le plus grand nombre de caractères possibles dans la construction d'un mot de passeil faut maintenant tenir compte d'un certain nombre d'aspects pratiques résumés ici :
- Éviter les caractères qui se confondent comme :
- 1 (un) et l (L minuscule)
- 0 (zéro) et O (lettre O majuscule)
- [ (crochet gauche) et ( (parenthèse gauche)
- ] (crochet droit) et ) (parenthèse droite)
- Ne pas avoir des mot de passe trop longs s'ils contiennent tout type de caractères. 7 à 9 caractères de long suffisent (200^7 = 12.800.000.000.000.000 combinaisons)
- Avoir des mot de passe d'au moins 10 à 12 caractères s'ils ne contiennent que des lettres minuscules et majuscules et des chiffres (52^10 = 144.555.105.949.057.024 combinaisons)
- Avoir des mot de passe d'au moins 12 à 14 caractères s'ils ne contiennent que des lettres majuscules et des chiffres (36^12 = 4.738.381.338.321.616.896 combinaisons)
Plusieurs techniques simples et facilement mémorisables peuvent être employées pour créer des mots de passe moins faciles à prédire comme :
- décaler la frappe sur le clavier. Exemple : caractère de gauche -> LouiseetMichelle devient KiyuqzzrLuxgzkkz
- phrase complète avec un signe spécial remplaçant un caractères particulier. Exemple : le£chat£est£rentré (où £ remplace espace)
- phrase sans voyelles ou sans consonne. Exemple : la sécurité est la chose la plus importante -> lscrtstlchslplsmprtnt
- lettres d'une phrase. Exemple : 1e et 2e lettres de "un seul être vous manque et tout est dépeuplé" -> unseêtvomaettoesdé
- variation minuscule/majuscule. Exemple voyelles en majuscule et consonnes en minuscule ou seulement les C et les S, etc. -> CiRCoNSTaNCeS ou CirConStanCeS
Vol de mots de passe
Les 10 techniques utilisées pour obtenir des mots de passe
- Force Brute : La force brute (ou brut force en anglais) est une méthode informatique qui consiste à tester toutes les combinaisons les unes à la suites des autres jusqu'à trouver la bonne. Elle emploie deux types d'algorithmes. Le premier se base sur des bibliothèques de mots de passe très usités, la seconde passe toutes les combinaisons en revue.
- Ingénierie sociale : Cette méthode consiste à obtenir un mot de passe par la ruse et généralement en se faisant passer pour un proche ou un membre de l'entreprise. Le plus souvent les usurpateurs se font passer pour un membre du service informatique et prétexte des opérations de maintenance ou de vérification pour obtenir identifiants et mots de passe.
- Interception : les mots de passe envoyés sur un réseau non sécurisé (http plutôt que https) voyage "en clair". Ils peuvent être interceptés à tous les niveaux de leur "voyage" entre l'émetteur et le récepteur.
- Phishing : L'hameçonnage consiste à faire trouver le moyen de faire saisir le mot de passe' d'un usager soit par email soit sur un site qui en copie un autre. Le Phishing est souvent consécutif à des emails très pressant qui semblent émaner d'organismes officiels comme une banque, un opérateurs de téléphonie ou une administration.
- Vol : Il existe de nombreuses méthodes de vol de mots de passe. La plus commune consiste à noter ou à photographier les étiquettes ou Post-it qui peuvent être collées au niveau d'un moniteur ou d'un clavier. Il arrive même que l'on puisse en trouver dans des reportages (ex reportage FDJ sur France 3 où des mots de passe étaient clairement visibles sur l'ordinateur portable d'un des cadres filmés). Un mot de passe ayant été copié/collé reste dans le presse-papier et peut donc facilement être révélé par un simple collé.
- Observation : Observer une personne entrant son mot de passe est chose simple. Ceci peut être amélioré avec une caméra et, depuis peu, à l'aide d'un capteur infrarouge sur un simple téléphone portable.
- Keylogging : Cette technique peut être logicielle ou matérielle. Elle consiste à installer à l'insu d'un utilisateur, un programme ou un dongle (généralement au niveau de la connectique du clavier), qui mémorisera tout ce qui est saisi. Les dongles clavier sont inopérant contre les mots de passe entrés à l'aide de la souris comme c'est le cas sur de nombreux site bancaire.
- Recherche : Les recherches sur PC ou sur le net sont une source notoire de mots de passe. Sur un ordinateur une simple recherche sur "password", "login", "identifiant", "MDP" ou "mot de passe" peut déjà apporter son lot de découverte. Les navigateurs qui mémorisent les mots de passe sont aussi une source importante. Par exemple, sur Chrome, la commande (about://settings/passwords) en donne la liste en deux clics ! Sur Internet il existe une foule de variantes permettant d'aboutir à la collecte de mots de passe. En automatisant les recherches, la collecte peut s'avérer rapidement fructueuse.
- Déduction : La méthode déductive consiste à connaître suffisamment d'information sur un usager pour tenter d'en déduire des mots de passe qui pourraient fonctionner. Les informations souvent impliquées dans les mots de passe seules ou assemblées comme : prénom du conjoint ou des enfants, années de naissance de l'usager ou d'un proche, nom d'un animal de compagnie, etc.
- Duplication : Le même mots de passe utilisé plusieurs fois, comme c'est souvent le cas, peut être récupéré par l'une des méthodes décrites ici, et testé sur d'autres sites avec les mêmes identifiants.
Compte tenu de ces éléments, il convient de mettre en place une politique de gestion des mots de passe et d'en assurer la confidentialité :
- Emploi de mots de passe différents sur chaque site, email, compte, etc.
- Emploi d'un générateur de mots de passe aléatoire faisant intervenir le maximum de caractères autorisés
- Emploi d'un logiciel ou d'une appli en ligne de stockage des mots de passe
- Définition d'une fréquence de changement des mots de passe stratégiques
- Mise en place de précautions pour éviter d'être victime du piratage (antimalware, antivirus, précaution avec certains emails, changement des mots de passe après des connexions à risque, etc.)
- Protection de l'accès aux mots de passe des navigateurs avec un code d'accès comme le propose Microsoft sur Windows
Articles Vulgum Techus
Liens utiles
- A BIG password cracking wordlist Une bibliothèque de 1,5 milliard de mots de passe
Articles externes
- Vice Motherboard - 27/06/17 Un hacker allemand nous explique comment créer un mot de passe en béton armé
- we live security - 27/08/13 Long passwords don’t offer “safe option” as cracker app upgrades
- Panoptinet - 05/03/13 En 2013, 90% des mots de passe seront vulnérables
- Tom's Guide - 05/03/13 Et le meilleur code secret à 4 chiffres est...
- Tom's Guide - 10/12/12 L'effrayante machine à cracker les mots de passe
- Art Technica - 21/08/12 Passwords Unders Assault Arstechnica