Mots de Passe : Générer et vérifier la force

[dezix]

Je reviens sur la question de la "force" d'un MdP

Notamment pour partager ce lien : FAQ · Wiki · cryptsetup : 5. Security Aspects

et

pour une question/remarque "bête" :

Bien évidemment le nombre de combinaisons possibles augmente avec la longueur du MdP et avec la taille du jeu de caractères utilisés.

Mais cela n'a vraiment de sens que pour celui qui connaît déjà ces données.

Celui qui tente de trouver la combinaison les ignore !

Je passe sur les "Mot de Pisse" ... 1234 ; etc
le pirate aura son dictionnaire adhoc
qui servira pour ces comptes d’utilisateurs défiants.... là on n'y peut rien !

Pour le reste,
il devra tester méthodiquement/logiquement toutes les combinaisons avec le jeux de caractères le plus large utilisable,
en commença par les combinaisons les plus courtes et sans en omettre
puisque le système attaqué ne va pas lui transmettre d'info sur les résultats négatifs à part qu'ils sont négatifs.
L'attaquant n'a que le choix de l'ordre pour espérer un léger gain de temps.... par chance si MdP aléatoire.

De ce point de vue (MdP aléatoire) l'influence du jeux de caractères s'annule pratiquement,
et seule la longueur du MdP fixe la durée de la recherche à -/+ une demie durée du dernier incrément de la longueur du MdP.


Où est l'erreur de résonnement ?

Je ne me sentirai pas humilié si personne ne répond

[piratebab]

Au plus tu as de caractéres différents à tester, au plus tu aura de combinaisons à tester pour une longueur de MDP donnée.
Un point prndre en compte: la façon dont tu as acces au mot de passe à retrouver.
Si tu passes par une unterface , tu as généralement un time out, ou un blocage aprés plusieurs echecs. Le balayage d'une liste de mot de passe peux prendre des années ....
Il ne faut évidement pas donner la moindre indication sur l'erreur (pas comme dans le jeu mastermind!)

Le cas que tu exposes est celui ou l'attaquant dispose du mot de passe chiffré (en faisant l'hypothese que l'algo de chiffrement n'a pas de biais permettant réduire le nombre de combinaison). Ce qui suppose que l'attaquant a eu acces à l'endroit ou le mot de passe est stocké. C'est donc la premiére chose à durcir et à vérifier.

[dezix]

l'endroit ou le mot de passe est stocké. C'est donc la première chose à durcir et à vérifier.

OUI ! C'est une excellente remarque... car on risque de passer à côté, merci

[piratebab]

C'est critique pour les sites web. Les mot de passe chiffrés sont dans la BDD. Si l'attaquant arrive à faire un dump de la BDD (via une faille quelquonque), c'est le jackpot. Il a ensuite tout loisir de retrouver les mots de passe en clair en utilisant ses propres machines.
Tu trouveras sur internet des exemples de machines dédiées à "casser" des MDP. Leur performances sont impressionantes (à base de GPU), et tout à fait abordable pour un bricoleur averti et pas très fortuné.

[dezix]

C'est effectivement pas le genre de point à négliger.

As-tu quelques pistes/liens sur les moyens à mettre en œuvre pour le renforcement de la protection des MdP en DB et DB en général ?

Mise à part la tenue à jour des logiciels... je considère que c'est acquis dans les bonnes pratiques générales.

[marcastro]

je crée mes MDP en créant un petit fichier .asc à l'aide de gpg en utilisant ma clé publique, fichier dans lequel je copie au pif une série de caractères successifs, 15 caractères minimum jamais moins et comprenant minuscules, majuscules, caractères spéciaux et chiffres. J'ai bon là? Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.

[dezix]

Pour info en complément de :

non, c'est pour revendre l'info!

Comment les hackers transforment en profits des mots de passe volés

Un court article qui expose les grandes lignes.

[vv222]

Tous mes MDP sont sauvegardés en clair sur une clé usb que j'utilise à la demande.

Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.

[marcastro]

Je pense que c’est le point de faiblesse principal de ta méthode.
J’utiliserais ici une clé USB chiffrée, pour anticiper le jour où je la perdrai ou me la ferai voler.

bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas.Si elle devait cesser de fonctionner je pourrais toujours retrouver mes MDP avec mon firefox qui est synchronisé. Deux sauvegardes valent mieux que une.
Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?

[piratebab]

Pour répondre à Dezix, il faut déja que seul les chiffré des mots de passe soient en BDD. Pour exfiltrer ces infos de la BDD, le diable peux se cacher à tous les niveaux. Le plus courant étant un mauvais applicatif. en particulier une requête forgée malveillante que l'applicatif ne surveille pas (injection SQL)
https://openclassrooms.com/fr/courses/2 ... ection-sql

[dezix]

Merci pour le lien

Bonne soirée/nuit

[Dunatotatos]

Mais mon principe de création de MDP basé sur un fichier .asc est il bien valable?

C'est étrange comme technique, et apporte moins de sécurité théorique qu'une génération aléatoire de caractères. Puisque tous tes mots de passe partagent une caractéristique commune.
En pratique, j'imagine que ça apporte la même sécurité qu'un mot de passe aléatoire.

[Grhim]

bien vu, mais comme cette clé ne quitte jamais mon domicile la question de la perte ou du vol ne se pose pas

oui mais si tu est sous ta douche ou au toilette hein ? l'espion viens pendant que tu est occuper , fait une copie de ta clef et hop

vu ici https://www.nextinpact.com/brief/travai ... -12436.htm

[sv0t]

Je créer moi moi-même mes passphrase avec chiffres et caractère spéciaux. Que je m'efforce de mémoriser. Aussi il arrive bien souvent que sur le net je n'ai plus l'accès aux comptes dont je me sers peu.
Heureusement que mes mails sont toujours accessibles ;-)

[dezix]

C'est vrai qu'il y a de quoi devenir ...




... et j'en passe

[boot-up]

Le mieux c'est d'utiliser un gestionnaire de mot de passe ou un générateur de mot de passe, qui va générer des mots de passes aléatoires et uniques, car les gens choisissent en général des mots de passe trop triviaux, du genre "nomPrénomAnnée" quand c'est pas "azerty" ou "1234567890".
En général la règle c'est de privilégier des combinaisons longues et complexes, en mélangeant majuscules, minuscules, chiffres, caractères spéciaux, etc. comme expliqué dans cet article, qui liste quelques bonnes pratiques.

[piratebab]

boot-up, il faut arrêter de diffuser des idées qui sont reprises partout. Il est absolument inutile de mettre des caractères spéciaux.
Ce qui compte c'est la longueur, et l'aléatoirité afin de compliquer les attaques par force brute.
Une astuce simple: utiliser une suite de mots n'ayant aucun lien entre eux (mini 40 caractéres). Ce n'est pas pour rien qu'on sécurité on parle de "pass phrase"
L'utilisation d'un gestionnaire de mot de passe est souvent utile, mais présente aussi des inconvénients:
- si le mot de passe principal est compromis, tous est compromis
- en cas de plantage logiciel et matériel, on pers tous ses mots de passe (combien d'article insistent sur la sauvegarde ?

Et la règle de base en sécurité est que le niveau de sécurité dépends de la valeur de ce qu'on protège.
Si ce qu'on protège à de la valeur, il faut passer a l’authentification multi-facteurs. Durcir un mot de passe sera toujours insuffisant.

[boot-up]

En ce qui concerne les caractères spéciaux, je ne serais pas aussi radical. Ils ont leur importance. Bien sûr ça complexifie les mots de passe et ça les rend plus difficiles à mémoriser, mais les caractères spéciaux augmentent significativement l'entropie du mot de passe, même avec une longueur de 12 à 16 caractères.

C'est vrai que les pass phrases sont très bien. Mais pareil, combien de pass phrases un être humain peut-il réellement retenir ?

À mon avis une bonne solution serait d'utiliser une phrase de passe pour le mot de passe maître, car on doit absolument le mémoriser. Et ensuite, générer des mots de passe pour chaque site avec générateur de mots de passe aléatoire.

Perso, je connais mon mot de passe maître, mais je n'ai aucune idée des dizaines de mots de passe que j'utilise sur différents sites.

Après pour les risques sur le matériel, il faut faire des backups réguliers et changer son mot de passe maître de temps en temps.
Le risque zéro n'existe pas de toute façon.
Même avec la 2FA, si on te vole ton smartphone ou si tu le perds, tu es dans la galère pour récupérer ton compte.

[piratebab]

Tu oublies le biais humain. Fait un sondage autour de toi, (ou regarde des rainbowtables) tu constateras que:
- la majuscule est presque toujours au début
- le caractère spécial est après les lettres, et est suivi par les chiffres. Ou l'inverse (chiffres puis caractère spécial)
Il 'y a quasiment jamais de majuscule au milieu, ou de chiffre en premier par exemple.
Pas très entropique tout ça ...

[zargos]

Perso je n'utilise que des mots de passe aléatoire de 15 à 40 caractères suivants les cas.
J'ai actuellement entre 200 et 300 mots de passe dont moins de 10 sont réutilisés (mots de passe uniquement interne sur des éléments de tests qui ne contiennent pas de données ou des sites dont les comptes n'existent plus - il faut que je fasse un ménage un de ces quatre).
J'utilise un coffre-fort multi-plateforme qui lui même utilise un mot de passe maître assez long, lui même aléatoire que je connais par coeur et un code OTP (il faut d'abord entrer l'OTP puis le mot de passe).

Dans le cas où je génère un mot de passe "manuellement", j'utilise un moyen mnémotechnique qui permet à partir de quelque chose de connu d'en générer un qui n'a pas de règle explicite et qui ne rentre dans aucun dictionnaire. Mais je privilégie toujours les mdp aléatoires.
Parfois j'utilise un certificat en plus du mot de passe et de l'OTP.