Contenu:
Créer un mot de passe fort est un bon début, mais sa sécurité dépend uniquement de la manière dont le service le stocke. Plutôt que d’enregistrer votre mot de passe sous forme de texte brut, la plupart des fournisseurs utilisent un processus appelé hachage pour transformer votre mot de passe en une chaîne de caractères généralement désignée par le terme hachage de mot de passe. Le problème est que le même mot de passe produira toujours exactement le même hachage. Cela facilite la tâche des pirates qui utilisent des listes de hachages de mots de passe volés pour les cracker en masse.
C’est là qu’intervient le salage des mots de passe. Il s’agit d’une mesure de sécurité qui ajoute une valeur unique à chaque mot de passe avant son hachage, garantissant ainsi que même des mots de passe identiques ont des hachages complètement différents. Alors, comment fonctionne réellement le salage de mot de passe et comment cette méthode améliore-t-elle votre sécurité ? Découvrons-le.
Qu’est-ce que le salage de mot de passe ?
Le salage de mot de passe est un élément aléatoire ajouté au mot de passe avant qu’il ne soit traité par processus de hachage du mot de passe l’algorithme. Il est différent pour chaque utilisateur, ce qui rend également uniques les hachages attribués à chaque mot de passe. Ainsi, l’objectif principal du salage est de garantir que même des mots de passe identiques auront des valeurs de hachage totalement différentes.
Comment fonctionne le salage des mots de passe ?
Imaginez deux personnes différentes qui choisissent toutes deux l’un des mots de passe les plus courants, comme « jaune ». Sans salage, le système générerait exactement le même hachage cryptographique (ou valeur de hachage) pour les deux comptes, ce qui n’est pas idéal pour la sécurité.
Le salage des mots de passe résout ce problème en ajoutant une chaîne de caractères aléatoire unique, appelée « sel », à chaque mot de passe avant qu’il ne soit haché. Ainsi, le mot de passe d’un utilisateur devient par exemple « jaune#1Gn% », tandis que celui d’un autre devient « jaune9j? ».L. » Il en résulte que même pour des mots de passe identiques, leurs valeurs de hachage finales sont complètement différentes. Le système stocke ensuite le hachage et le salage unique simultanément dans sa base de données, associés au compte de l’utilisateur.
Lorsque l’utilisateur tente de se connecter, il saisit son mot de passe comme d’habitude. Le système récupère le salage correspondant à cet utilisateur dans la base de données, le combine avec le mot de passe qu’il vient de saisir et vérifie si la valeur de hachage obtenue correspond à celle enregistrée dans le fichier. Cette simple mesure rend beaucoup plus difficile le piratage des mots de passe, même s’ils parviennent à accéder à la base de données.
Quels types d’attaques peuvent être contrés par le salage des mots de passe ?
Le piratage d’un mot de passe est en fait un jeu de devinettes à grande vitesse. Les pirates utilisent des ordinateurs puissants et des techniques spécialisées pour trouver la bonne combinaison. Voici les trois principales méthodes utilisées :
La force brute
La force brute peut être considérée comme la méthode la plus simple pour déchiffrer les mots de passe hachés. Il s’agit de deviner toutes les combinaisons de mots de passe possibles, puis de les tester à l’aide d’un programme informatique qui essaie toutes les combinaisons possibles, qui sont pratiquement infinies. Lorsque vous obtenez une correspondance, vous connaissez le mot de passe original. La force brute est l’une des principales raisons pour lesquelles vos mots de passe doivent contenir au moins 12 caractères. De plus, ces attaques fonctionnent généralement mieux sur les mots de passe courts. Plus les mots de passe sont longs, plus il faut de puissance de calcul pour les déchiffrer.
Les attaques par dictionnaire
L’attaque par dictionnaire est une version plus sophistiquée de l’attaque par force brute. Plutôt que de deviner au hasard, l’ordinateur essaie les mots et combinaisons de caractères les plus courants. C’est pourquoi les attaques par dictionnaire s’améliorent à chaque fuite de données : au fur et à mesure, les criminels en apprennent davantage sur la manière dont nous créons nos mots de passe.
Les Rainbow Tables
L’attaque par Rainbow Table (littéralement, table arc-en-ciel) est une variante de l’attaque par force brute, dans laquelle les pirates utilisent des des bases de données précalculées de mots de passe déchiffrés pour déchiffrer les hachages de mots de passe dans la base de données. Les pirates recherchent dans leurs Rainbow Tables le hachage souhaité. Tout comme les attaques par dictionnaire, les Rainbow Tables sont de plus en plus efficaces à chaque fuite de données.
Comment le salage protège vos mots de passe
Le salage des mots de passe permet de contrer directement les attaques décrites ci-dessus, en particulier la méthode très efficace des tables arc-en-ciel. Cependant, tous les salages ne se valent pas :
Salage statique : une protection limitée
Avec cette approche, un salage fixe est ajouté à chaque mot de passe du système. Bien qu’elle soit préférable à l’absence totale de salage, cette méthode crée un point de défaillance unique. Si un pirate identifie le salage statique, il peut créer une nouvelle table arc-en-ciel spécifique à ce salage, rendant ainsi l’ensemble de la base de données des mots de passe stockés de nouveau vulnérable.
Salage dynamique : la référence absolue
Le salage dynamique, méthode utilisée dans les systèmes modernes plus sécurisés, génère un salage unique et aléatoire pour chaque utilisateur. Ce salage est stocké avec le mot de passe haché de l’utilisateur.
Cette approche rend les tables arc-en-ciel inutiles, car chaque utilisateur dispose d’un salage unique. Par conséquent, deux personnes ayant exactement le même mot de passe auront des valeurs de hachage totalement différentes dans la base de données. Une table précalculée est inutile si aucun hachage ne correspond jamais. De plus, cela oblige les attaquants à recourir à des méthodes plus lentes. Sans leur antisèche de table arc-en-ciel, ils doivent tenter de déchiffrer chaque mot de passe stocké individuellement, ce qui est un processus beaucoup plus lent et difficile.
Qui a dit que la sécurité des entreprises devait être compliquée ?
Protégez votre entreprise contre les cybermenaces sans sacrifier la commodité
Les bonnes pratiques pour le salage des mots de passe
Un sel de mot de passe robuste est assez semblable à un mot de passe fort : il doit être unique, long, complexe et impossible à prédire. Voici ce qu’il faut faire pour s’assurer que le salage du mot de passe est fiable :
Il doit être aléatoire : n’utilisez jamais de mots du dictionnaire ou de noms d’utilisateurs comme salage de mot de passe.
Il doit être complexe : mélangez des lettres majuscules et minuscules, des chiffres et des caractères spéciaux tels que & @ #.
Il doit être long : dans l’idéal, la longueur d’un salage de mot de passe doit être égale au résultat du hachage.
Évitez de réutiliser des salages : le sel d’un mot de passe sécurisé n’est utilisé qu’une seule fois. Un nouveau salage doit être généré chaque fois qu’un utilisateur modifie son mot de passe ou crée un nouveau compte.
Conservez les hachages en lieu sûr : stockez les hachages et les salages correspondants dans un format sécurisé et chiffré. Il est essentiel d’utiliser des mesures de sécurité efficaces pour protéger la base de données dans laquelle les salages et les hachages sont stockés afin d’empêcher tout accès non autorisé.
Erreurs courantes à éviter lors du salage des mots de passe
Le salage de mot de passe peut être un moyen d’améliorer considérablement la sécurité globale. Cependant, il est important de garder à l’esprit qu’il existe des pièges communs qui peuvent mettre en péril l’efficacité de cette stratégie. Il est essentiel de comprendre ces erreurs si l’on veut mettre en œuvre une stratégie de salage efficace. Voici quelques-unes des erreurs les plus courantes à éviter lors du salage des mots de passe.
Hachages courts et prévisibles
Bien que le salage ajoute une couche supplémentaire de sécurité, la force du hachage final reste extrêmement importante. Si le hachage est trop court ou trop simple, il affaiblit la sécurité globale du stockage du mot de passe. En effet, un hachage court limite le nombre de valeurs de hachage possibles, ce qui facilite le travail des pirates lorsqu’ils ont recours à des méthodes de force brute pour déchiffrer les mots de passe. La même logique s’applique aux hachages simples et prévisibles. Lors du salage, assurez-vous que l’algorithme de hachage que vous choisissez produit un résultat long et complexe.
Hachages réutilisés
L’un des principes fondamentaux de l’utilisation efficace du salage de mots de passe est l’unicité ; chaque mot de passe doit avoir son propre salage. Réutiliser des hachages pour différents enregistrements revient en fait à utiliser le même mot de passe pour plusieurs sites et services. La réutilisation des hachages permet aux pirates de faire appel à des techniques telles que les attaques par Rainbow Table de manière très efficace.
Base de données open-source
Si les bases de données open-source pour le stockage des mots de passe peuvent présenter des avantages, il est essentiel de comprendre que, sans configuration de sécurité supplémentaire, ce type de base de données est une mine d’or pour les cyber-escrocs. Le plus souvent, les pirates connaissent les configurations courantes des bases de données à code source ouvert et peuvent facilement exploiter les vulnérabilités connues. Par conséquent, si vous utilisez, ou prévoyez d’utiliser, une base de données à code source ouvert, veillez à mettre en œuvre des mesures de sécurité strictes, à personnaliser les paramètres en vous éloignant des valeurs par défaut et, enfin, à tenir le logiciel à jour.
Les bonnes pratiques pour la sécurité des mots de passe
Créer des mots de passe forts et uniques
La base d’une bonne sécurité des mots de passe commence par la création de mots de passe forts pour chaque compte. Un mot de passe efficace doit comporter au moins 12 caractères et un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Les mots de passe uniques sont importants, car ils garantissent que même si un mot de passe est compromis, les autres comptes resteront en sécurité.
Permettre l’authentification multifactorielle dans la sécurité des mots de passe
L’authentification multifactorielle (AMF) ajoute une couche de sécurité en demandant aux utilisateurs de fournir au moins deux facteurs de vérification pour accéder à leurs comptes. Dans la plupart des cas, l’AMF combine quelque chose que vous connaissez (vos mots de passe) et quelque chose que vous avez (votre smartphone, une tablette, etc.), et dans certains cas quelque chose que vous êtes (données biométriques telles que les empreintes digitales, le visage). L’AMF réduit considérablement le risque d’accès non autorisé, même si le mot de passe a été divulgué.
Sensibiliser les utilisateurs à la bonne hygiène des mots de passe
Chacun doit être conscient et comprendre clairement les risques associés aux mots de passe faibles. Les personnes doivent également comprendre pourquoi les bonnes pratiques de sécurité, telles que le fait de ne pas réutiliser un mot de passe sur différents sites et l’utilisation d’un gestionnaire de mots de passe pour les données sensibles, peuvent les soulager de la charge de la sécurité. Des mesures de sensibilisation peuvent contribuer à renforcer le respect des règles d’hygiène en matière de mots de passe.
Intégrer le salage des mots de passe dans les politiques de sécurité des organisations
Le salage des mots de passe doit faire partie de la stratégie de sécurité globale de votre entreprise. Les organisations doivent prendre des mesures et mettre en œuvre des politiques imposant que le salage de mots de passe soit unique pour chaque utilisateur et veiller à ce qu’ils soient stockés en toute sécurité.
Utiliser un gestionnaire de mots de passe fiable
Un gestionnaire de mots de passe fiable tel que NordPass peut grandement améliorer votre confidentialité en ligne. Des outils tels que NordPass assurent stocker en toute sécurité vos mots de passe ainsi que d’autres données sensibles telles que vos informations personnelles, vos cartes bancaires et vos fichiers. Pour les organisations, un gestionnaire de mots de passe tel que NordPass Business peut grandement améliorer la posture de sécurité globale, permettre à l’organisation de se conformer à la législation et, de manière générale, de réduire le risque d’accès non autorisé.
FAQ
Le salage du mot de passe ajoute une chaîne aléatoire, appelée « sel », à un mot de passe avant qu’il ne soit haché. Par exemple, si votre mot de passe est « soleil », le salage pourrait être « G7^Xth », ce qui produirait le mot de passe haché « soleilG7^Xth ».
En théorie, avec suffisamment de puissance de calcul et d’énergie, il est possible de craquer un mot de passe traité par salage. Le salage des mots de passe permet avant tout de lutter contre les attaques précalculées, comme celles qui utilisent les Rainbow Tables.
Un salage doit généralement être au moins aussi long que le résultat du hachage. La longueur du salage est généralement de 16 caractères pour de nombreux algorithmes de hachage.
Le salage améliore la sécurité des mots de passe faibles en les rendant uniques. Toutefois, le salage ne compense pas le manque de complexité. Il est toujours essentiel d’avoir des mots de passe forts et complexes.
Le hachage convertit un mot de passe en une chaîne irréversible de taille définie. Le salage ajoute un élément de données aléatoire au mot de passe avant le hachage, ce qui empêche des mots de passe identiques de produire le même hachage et renforce la sécurité.