Contenu:
- Qu’est-ce que le salage de mot de passe ?
- Comment fonctionne le salage des mots de passe ?
- Quels types d’attaques peuvent être contrés par le salage des mots de passe ?
- Les bonnes pratiques pour le salage des mots de passe
- Erreurs courantes à éviter lors du salage des mots de passe
- Les bonnes pratiques pour la sécurité des mots de passe
- FAQ
La création d’un bon mot de passe peut contribuer grandement à la protection de vos données en cas de fuite de celles-ci. Cependant, même si vous créez un mot de passe aléatoire de 20 caractères avec des symboles et des chiffres, la sécurité de vos identifiants de connexion finira un jour ou l’autre par vous échapper. Tout dépend de la manière dont le fournisseur de services stocke vos mots de passe.
Malheureusement, même les mots de passe les plus forts peuvent être facilement piratés s’ils ne sont pas correctement protégés. En effet, des mots de passe identiques produisent des hachages identiques avec les techniques de hachage traditionnelles, ce qui, évidemment, les rend vulnérables.
C’est là que le salage de mot de passe vient sauver la situation. Il s’agit d’une mesure de sécurité supplémentaire destinée à protéger des cyberattaques vos mots de passe enregistrés. Mais qu’est-ce que le salage de mot de passe et comment cette méthode renforce-t-elle la sécurité de vos mots de passe ? Entrons dans le vif du sujet pour le découvrir.
Qu’est-ce que le salage de mot de passe ?
En général, vos mots de passe ne sont pas conservés en texte clair. Avant d’être stockés dans la base de données du site web, ils sont soumis à un processus appelé processus de hachage du mot de passe, qui transforme les mots de passe en une chaîne aléatoire de caractères d’une longueur déterminée. Chaque fois que vous vous connectez à votre compte, le mot de passe est traité par le même algorithme de hachage à sens unique. Le résultat est ensuite comparé aux hachages de la base de données et, s’ils correspondent, l’accès au compte vous est accordé.
Bien que ce moyen de stockage des mots de passe semble sûr, il n’est en réalité pas sans danger. Si deux mots de passe sont les mêmes, leur hachage est identique, ce qui les rend plus faciles à déchiffrer. Le salage de mot de passe s’avère alors être la solution. Un sel de mot de passe est une donnée aléatoire ajoutée au mot de passe avant qu’il ne soit traité par l’algorithme de hachage. Le salage d’un mot de passe est différent pour chaque utilisateur, ce qui rend les hachages attribués à chaque mot de passe également uniques.
Comment fonctionne le salage des mots de passe ?
Supposons que votre mot de passe soit « jaune ». Si un autre utilisateur a le même mot de passe, le résultat du hachage sera le même. Mais si vous ajoutez quelques caractères aléatoires aux deux, vous obtenez deux mots de passe différents : « jaune#1Gn% » et « jaune9j?L”— avec des hachages totalement différents. C’est exactement ce que font les sites qui utilisent le salage de mot de passe.
Quels types d’attaques peuvent être contrés par le salage des mots de passe ?
Déchiffrer un mot de passe est avant tout un jeu de devinettes. Les pirates essaient de trouver la bonne combinaison de caractères et, si le mot de passe est haché, utilisent des ordinateurs puissants pour faire le travail à leur place. Il existe principalement trois méthodes pour casser un mot de passe haché :
La force brute
La force brute peut être considérée comme la méthode la plus simple pour déchiffrer les mots de passe hachés. Comme son nom l’indique, il s’agit de deviner toutes les combinaisons possibles de mots de passe, puis de les soumettre à un programme informatique qui essaie les combinaisons presque infinies. Lorsque vous obtenez une correspondance, vous connaissez le mot de passe original. La force brute est l’une des principales raisons pour lesquelles vos mots de passe doivent contenir au moins 12 caractères : les attaques par force brute fonctionnent généralement mieux avec des mots de passe plus courts. Plus les mots de passe sont longs, plus il faut de puissance de calcul pour les déchiffrer.
Les attaques par dictionnaire
L’attaque par dictionnaire est une version plus sophistiquée de l’attaque par force brute. Plutôt que de deviner au hasard, l’ordinateur essaie les mots de passe et les combinaisons de caractères les plus courants.. C’est pourquoi les attaques par dictionnaire s’améliorent à chaque fuite de données, car les criminels enrichissent leurs connaissances sur la façon dont nous créons nos mots de passe.
Les Rainbow Tables
L’attaque par Rainbow Table (littéralement, table arc-en-ciel) est une variante de l’attaque par force brute, dans laquelle les pirates utilisent des des bases de données précalculées de mots de passe déchiffrés pour déchiffrer les hachages de mots de passe dans la base de données. Les pirates recherchent dans leurs Rainbow Tables le hachage souhaité. Tout comme les attaques par dictionnaire, les Rainbow Tables sont de plus en plus efficaces à chaque fuite de données.
Les bonnes pratiques pour le salage des mots de passe
Un sel de mot de passe robuste est assez semblable à un mot de passe fort : il doit être unique, long, complexe et impossible à prédire. Voici ce qu’il faut faire pour s’assurer que le salage du mot de passe est fiable :
Il doit être aléatoire : n’utilisez jamais de mots du dictionnaire ou de noms d’utilisateurs comme salage de mot de passe.
Il doit être complexe : mélangez des lettres majuscules et minuscules, des chiffres et des caractères spéciaux tels que & @ #.
Il doit être long : dans l’idéal, la longueur d’un salage de mot de passe doit être égale au résultat du hachage.
Évitez de réutiliser des salages : le sel d’un mot de passe sécurisé n’est utilisé qu’une seule fois. Un nouveau salage doit être généré chaque fois qu’un utilisateur modifie son mot de passe ou crée un nouveau compte.
Conservez les hachages en lieu sûr : stockez les hachages et les salages correspondants dans un format sécurisé et chiffré. Il est essentiel d’utiliser des mesures de sécurité efficaces pour protéger la base de données dans laquelle les salages et les hachages sont stockés afin d’empêcher tout accès non autorisé.
Erreurs courantes à éviter lors du salage des mots de passe
Le salage de mot de passe peut être un moyen d’améliorer considérablement la sécurité globale. Cependant, il est important de garder à l’esprit qu’il existe des pièges communs qui peuvent mettre en péril l’efficacité de cette stratégie. Il est essentiel de comprendre ces erreurs si l’on veut mettre en œuvre une stratégie de salage efficace. Voici quelques-unes des erreurs les plus courantes à éviter lors du salage des mots de passe.
Hachages courts et prévisibles
Bien que le salage ajoute une couche supplémentaire de sécurité, la force du hachage final reste extrêmement importante. Si le hachage est trop court ou trop simple, il affaiblit la sécurité globale du stockage du mot de passe. En effet, un hachage court limite le nombre de valeurs de hachage possibles, ce qui facilite le travail des pirates lorsqu’ils ont recours à des méthodes de force brute pour déchiffrer les mots de passe. La même logique s’applique aux hachages simples et prévisibles. Lors du salage, assurez-vous que l’algorithme de hachage que vous choisissez produit un résultat long et complexe.
Hachages réutilisés
L’un des principes fondamentaux de l’utilisation efficace du salage de mots de passe est l’unicité ; chaque mot de passe doit avoir son propre salage. Réutiliser des hachages pour différents enregistrements revient en fait à utiliser le même mot de passe pour plusieurs sites et services. La réutilisation des hachages permet aux pirates de faire appel à des techniques telles que les attaques par Rainbow Table de manière très efficace.
Base de données open-source
Si les bases de données open-source pour le stockage des mots de passe peuvent présenter des avantages, il est essentiel de comprendre que, sans configuration de sécurité supplémentaire, ce type de base de données est une mine d’or pour les cyber-escrocs. Le plus souvent, les pirates connaissent les configurations courantes des bases de données à code source ouvert et peuvent facilement exploiter les vulnérabilités connues. Par conséquent, si vous utilisez, ou prévoyez d’utiliser, une base de données à code source ouvert, veillez à mettre en œuvre des mesures de sécurité strictes, à personnaliser les paramètres en vous éloignant des valeurs par défaut et, enfin, à tenir le logiciel à jour.
Les bonnes pratiques pour la sécurité des mots de passe
Créer des mots de passe forts et uniques
La base d’une bonne sécurité des mots de passe commence par la création de mots de passe forts pour chaque compte. Un mot de passe efficace doit comporter au moins 12 caractères et un mélange de lettres majuscules et minuscules, de chiffres et de symboles. Les mots de passe uniques sont importants, car ils garantissent que même si un mot de passe est compromis, les autres comptes resteront en sécurité.
Permettre l’authentification multifactorielle dans la sécurité des mots de passe
L’authentification multifactorielle (AMF) ajoute une couche de sécurité en demandant aux utilisateurs de fournir au moins deux facteurs de vérification pour accéder à leurs comptes. Dans la plupart des cas, l’AMF combine quelque chose que vous connaissez (vos mots de passe) et quelque chose que vous avez (votre smartphone, une tablette, etc.), et dans certains cas quelque chose que vous êtes (données biométriques telles que les empreintes digitales, le visage). L’AMF réduit considérablement le risque d’accès non autorisé, même si le mot de passe a été divulgué.
Sensibiliser les utilisateurs à la bonne hygiène des mots de passe
Chacun doit être conscient et comprendre clairement les risques associés aux mots de passe faibles. Les personnes doivent également comprendre pourquoi les bonnes pratiques de sécurité, telles que le fait de ne pas réutiliser un mot de passe sur différents sites et l’utilisation d’un gestionnaire de mots de passe pour les données sensibles, peuvent les soulager de la charge de la sécurité. Des mesures de sensibilisation peuvent contribuer à renforcer le respect des règles d’hygiène en matière de mots de passe.
Intégrer le salage des mots de passe dans les politiques de sécurité des organisations
Le salage des mots de passe doit faire partie de la stratégie de sécurité globale de votre entreprise. Les organisations doivent prendre des mesures et mettre en œuvre des politiques imposant que le salage de mots de passe soit unique pour chaque utilisateur et veiller à ce qu’ils soient stockés en toute sécurité.
Utiliser un gestionnaire de mots de passe fiable
Un gestionnaire de mots de passe fiable tel que NordPass peut grandement améliorer votre confidentialité en ligne. Des outils comme NordPass permettent de stocker en toute sécurité vos mots de passe ainsi que d’autres données sensibles telles que les données personnelles, les cartes bancaires et des fichiers. Pour les organisations, un gestionnaire de mots de passe tel que NordPass Business peut grandement améliorer la posture de sécurité globale, permettre à l’organisation de se conformer à la législation et, de manière générale, de réduire le risque d’accès non autorisé.
FAQ
Le salage du mot de passe ajoute une chaîne aléatoire, appelée « sel », à un mot de passe avant qu’il ne soit haché. Par exemple, si votre mot de passe est « soleil », le salage pourrait être « G7^Xth », ce qui produirait le mot de passe haché « soleilG7^Xth ».
En théorie, avec suffisamment de puissance de calcul et d’énergie, il est possible de craquer un mot de passe traité par salage. Le salage des mots de passe permet avant tout de lutter contre les attaques précalculées, comme celles qui utilisent les Rainbow Tables.
Un salage doit généralement être au moins aussi long que le résultat du hachage. La longueur du salage est généralement de 16 caractères pour de nombreux algorithmes de hachage.
Le salage améliore la sécurité des mots de passe faibles en les rendant uniques. Toutefois, le salage ne compense pas le manque de complexité. Il est toujours essentiel d’avoir des mots de passe forts et complexes.
Le hachage convertit un mot de passe en une chaîne irréversible de taille définie. Le salage ajoute un élément de données aléatoire au mot de passe avant le hachage, ce qui empêche des mots de passe identiques de produire le même hachage et renforce la sécurité.