Créer de bons mots de passe contribue à protéger vos informations en cas de violation de données. Cependant, même avec un mot de passe aléatoire de 20 caractères composé de symboles et de chiffres, il arrive un moment où la sécurité de vos identifiants n'est plus de votre ressort. Tout repose en effet sur la manière dont les différents services stockent vos mots de passe.
Contenu
Nous avons déjà expliqué pourquoi il ne faut pas conserver ses mots de passe en texte clair. Pour répondre aux principes de sécurité les plus élémentaires, ils doivent être hachés. Mais cela devient un véritable jeu du chat et de la souris entre les hackers et les experts en cybersécurité. À chaque violation de données, les criminels améliorent leur capacité à craquer les mots de passe hachés. C'est pourquoi les cryptographes utilisent désormais une mesure de sécurité supplémentaire : le salage.
Qu'est-ce que le salage des mots de passe ?
En général, vos mots de passe ne sont pas conservés en texte clair. Quand vous vous connectez à un compte, le mot de passe passe transite par un algorithme de hachage à sens unique. Il se transforme ainsi en une chaîne de caractères indéchiffrable et complètement différente. Cette séquence est ensuite comparée aux autres hachages de la base de données et, si elle correspond, l'accès au compte est autorisé.
Cette méthode semble sûre pour stocker les mots de passe, mais il y a un problème. En effet, si deux mots de passe sont identiques, le hachage aussi est identique, ce qui facilite le craquage. C'est ici que le salage entre en jeu. Le salage des mots de passe correspond à un fragment de données aléatoires ajouté au mot de passe avant qu'il ne soit soumis à l'algorithme de hachage.
Supposons que votre mot de passe est "yellow". Si un autre utilisateur utilise le même mot de passe, le résultat du hachage sera identique. Mais, si vous ajoutez quelques caractères aléatoires aux deux, vous obtenez deux mots de passe différents - ‘yellow#1Gn%’ et ‘yellow9j?L’ - avec des hachages complètement différents. Mais en quoi cela les rend-il plus difficiles à craquer ?
Attaquer des mots de passe sans salage
Au fil des ans, les cybercriminels ont élaboré différents moyens pour s'introduire et craquer des millions de mots de passe hachés. Et à chaque violation de données, ces méthodes s'améliorent. Pour casser un mot de passe haché sans chiffrement par salage, il existe trois méthodes principales.
Force brute. La Brute-force est considérée comme la façon la plus simple de craquer des mots de passe hachés. Il s'agit de deviner toutes les combinaisons de mots de passe possibles et de les soumettre à un algorithme de hachage. Quand une correspondance est obtenue, vous connaissez le mot de passe original. La force brute fonctionne mieux avec des combinaisons courtes. Et plus les mots de passe sont longs, plus il faut de puissance de calcul pour les pirater.
Attaques par dictionnaire. Une attaque par dictionnaire est une version plus sophistiquée de la force brute. Ici, au lieu de deviner de manière aléatoire, l'ordinateur teste les mots de passe et combinaisons de caractères les plus courants. C'est pourquoi les attaques par dictionnaire se perfectionnent à chaque violation de données, car les criminels en apprennent toujours plus sur la façon dont nous créons nos mots de passe.
Tables arc-en-ciel. Les tables arc-en-ciel sont des bases de données pré-calculées de hachages de mots de passe déchiffrés. Pour obtenir le hachage recherché, un pirate peut simplement effectuer une recherche dans la base de données. Comme pour les attaques par dictionnaire, les tables arc-en-ciel grossissent à chaque nouvelle violation de données.
Atténuer les attaques de mots de passe avec le salage
Alors, comment les experts en sécurité combattent-ils ces attaques ? Avant tout, avec algorithmes de hachage plus modernes et plus sûrs. Les fonctions de hachage MD5 et SHA-1 sont considérées comme faciles à craquer, tandis que bcrypt et SHA-2 sont des choix relativement sûrs. Les algorithmes les plus récents hachent les mots de passe à plusieurs reprises, ce qui les rend plus difficiles à craquer.
En plus des fonctionnalités de sécurité, l'utilisation d'un hachage salé est indispensable. Un mot de passe salé haché par un algorithme sécurisé est presque impossible à casser. Mais cela ne signifie pas que vos mots de passe sont parfaitement sécurisés. Vous ne pouvez jamais être totalement sûr de la façon dont un service stocke les mots de passe. Par conséquent, suivez toujours les bonnes pratiques de sécurité : créez des mots de passe vraiment aléatoires, ne réutilisez jamais vos identifiants sur plusieurs comptes et changez votre mot de passe immédiatement après une violation de données.