Question:
Avons-nous vraiment besoin d'un mot de passe long et compliqué pour les sites Web?
drpexe
2014-11-05 18:16:06 UTC
view on stackexchange narkive permalink

La plupart des sites Web qui traitent des informations importantes (Gmail, par exemple) ont une sorte de protection contre la force brute. Parfois, si vous essayez plus de X fois, cela bloquera le compte ou au moins vous donnera un captcha à résoudre.

Actuellement, tous les experts en sécurité continuent de dire la même chose: créez des caractères longs et mixtes, des mots de passe à haute entropie . Cela a beaucoup de sens si vous pensez à une clé RSA, ou à quelque chose qui pourrait être déchiffré hors ligne, mais est-ce vraiment important lorsque nous parlons de mots de passe de compte en ligne?

Par exemple, nous créons un mot de passe pour Gmail utilisant seulement 6 lettres de l'alphabet anglais. C'est approximativement 26 ^ 6 = 309 millions de combinaisons. Si nous considérons que nous pouvons tester 1 mot de passe par seconde (ce qui, je pense, est plus rapide que ce que nous pouvons réellement, si vous prenez en compte les captchas Gmail), il nous faudra jusqu'à 10 ans pour casser et 5 ans en moyenne.

Points à considérer:

  • Si vous utilisez le même mot de passe sur un site Web différent, un autre site Web pourrait être piraté et votre mot de passe exposé. Je suppose que le mot de passe est unique. Utilisé uniquement avec Gmail.
  • Si quelqu'un peut récupérer la base de données, il peut forcer le hachage de votre mot de passe hors ligne. Je suppose que le site Web utilise au moins un hachage salé (très peu probable que le pirate tente de casser tous les mots de passe) et / ou qu'il est très improbable que la base de données soit piratée (c'est une bonne hypothèse avec Gmail)
  • Je suppose également que votre mot de passe n'est pas un mot du dictionnaire ou quelque chose de facile à deviner. Cela devrait exclure la force brute de plusieurs comptes (par exemple, tester le même mot de passe commun sur plusieurs comptes).

Peut-on supposer que nous n'avons pas besoin d'un mot de passe très long pour les sites Web car dès que nous suivons les autres mesures de sécurité? Si nous suggérons que les gens utilisent un mot de passe long simplement parce qu'ils ne suivent normalement pas les autres conseils de sécurité (utiliser le même mot de passe pour tous les comptes, etc.). N'essayons-nous pas vraiment de corriger les symptômes et non la cause?

PS: D'autres questions abordent presque la même chose, mais les réponses considèrent toujours que la personne utilise le même mot de passe sur les sites Web ou que la base de données du site Web est facilement volée.

Que considérez-vous comme long? Dans votre exemple, l'utilisation d'un mot de passe alphanumérique de 8 caractères rend une attaque par force brute en ligne irréalisable. Mais ce n'est pas une attaque probable dans le passé.
Je considère que tout ce qui est long> 6 caractères. Il y a longtemps, lorsque Gmail a été lancé, Google vous demandait d'avoir un mot de passe> = 6, après un certain temps, ils l'ont augmenté à> = 8
s'il est vrai que gmail a mis en place de bonnes mesures de sécurité, il est également vrai qu'ils sont une grosse cible pour les personnes infâmes et sont probablement soumis à une forme d'attaque quotidienne. Je pense que les gestionnaires de mots de passe sont la voie à suivre jusqu'à ce que quelqu'un trouve un moyen d'avoir des mots de passe faciles à retenir mais difficiles à déchiffrer (lien XKCD obligatoire: http://xkcd.com/936/). Ce n'est pas parce qu'un site ou un service semble avoir mis en place de bonnes contre-mesures qu'il ne sera pas piraté ni ne souffrira d'erreurs système (ou humaines). Ou bien sûr, sabotage.
Il n'y a pas de bonne réponse. Malheureusement, les mots de passe aléatoires (par exemple, "pl3sqzjwAb") ont tendance à être difficiles à retenir et à saisir. La plupart des gens seraient probablement plus satisfaits des «mots de passe», mais de nombreux sites ne les autoriseront pas, pour diverses raisons, bonnes et mauvaises.
C'est pour si la base de données est piratée
Vous ne pourrez peut-être taper qu'un mot de passe par seconde, mais un logiciel pourrait être écrit pour le faire beaucoup plus rapidement. Plus le mot de passe est long, plus vous aurez besoin de temps CPU (et / ou) pour déchiffrer un mot de passe.
`Actuellement, tous les experts en sécurité continuent de dire la même chose: créez des caractères longs et mixtes, des mots de passe à haute entropie`
À titre d'exemple concret, le code PIN de votre carte de paiement ou VISA n'a que 9999 combinaisons possibles et vous avez 3 tentatives. À quelle fréquence votre carte a-t-elle été désactivée sans préavis et remplacée en raison d'une faille de sécurité interne à la banque ou d'un cas où ils ne savaient pas si quelqu'un avait volé les données du compte d'une centaine de milliers de personnes (y compris tout ce qu'il faut pour falsifier un carte, mais sans le code PIN)? Pour moi, cela s'est produit 5 fois au cours des 10 dernières années, donc une fois tous les 24 mois en moyenne ... présumons maintenant que le site Web moyen a une sécurité inférieure avec moins d'audits qu'une banque.
@Damon c'est un peu différent. 1) Il n'y a que 10 combinaisons possibles pour chaque numéro à quatre endroits. Le «pirate» n'a besoin que de 10 000 suppositions au plus pour deviner ce code PIN. Avec un mot de passe, c'est bien plus, car si un utilisateur n'utilise que l'alphabet, il y a 26 possibilités différentes à chaque endroit. Ensuite, considérez les lettres majuscules et minuscules et ce nombre double. Ensuite, ajoutez des nombres qui ajouteront 10 autres suppositions possibles à chaque emplacement. Le délai de «piratage» du mot de passe est beaucoup, beaucoup plus long que sur un code PIN de carte, simplement parce qu'il y a plus d'options possibles.
De plus, je pourrais m'asseoir avec un morceau de papier et un stylo, avec vous assis en face de moi, et deviner votre NIP en moins d'une heure en utilisant simplement le processus d'élimination. C'est ainsi que ces «hackers» obtiennent si facilement et souvent les codes PIN des gens.
Il serait intéressant de voir une analyse crédible du nombre d'expositions / pénétrations réelles dues à des mots de passe faibles, par rapport à toutes les autres failles de sécurité. Il n'est pas clair que les pénétrations d'un million de clients chez Target, Home Depot et autres étaient dues en aucune façon à des mots de passe faibles.
Douze réponses:
R15
2014-11-05 19:30:54 UTC
view on stackexchange narkive permalink

Ce qui suit ne rend pas vraiment justice, mais en résumé ...

Dans un monde idéal non, des mots de passe compliqués ne devraient pas être nécessaires pour les ressources en ligne.

, dans ce monde idéal, nous dépendons des administrateurs du système pour renforcer les systèmes afin d'empêcher tout accès non autorisé au 'fichier de mots de passe', ce qui suit minimisera le risque:

  • Configurer l'infrastructure en toute sécurité;
  • Appliquez rapidement les correctifs;
  • Ayez une forme de surveillance pour identifier un compromis en cas de scénario d'exploit zero-day (afin que les utilisateurs puissent être «dit» de changer leurs mots de passe );
  • Avoir et suivre des méthodologies de programmation / développement «sécurisées»;
  • N'employez que des personnes de confiance.

La combinaison complète de ces éléments est peu probable pour de nombreux sites.

Les faiblesses de la liste ci-dessus peuvent entraîner des exploits qui permettent de contourner complètement les mots de passe, mais quelle que soit la nature d'un exploit réussi, il y a fort à parier que , après avoir gagné accès non autorisé à un système, les attaquants tenteront d'exfiltrer le fichier de mots de passe et le forceront par la suite pour aider à compromettre d'autres systèmes (en exploitant le recyclage des mots de passe).

Donc, même s'il n'y a aucune garantie qu'un fort (euh ) mot de passe empêchera toutes les mauvaises choses, il peut aider à atténuer les faiblesses des solutions des fournisseurs (qu'elles soient connues ou non).

Pour éviter tout doute, nous dépendons également du fournisseur de services pour faire ce qui suit :

  • Appliquer le hachage et le salage aux mots de passe;
  • Assurez-vous que le mot de passe n'est jamais échangé en texte clair.

Je suppose que pour la plupart des utilisateurs finaux, la décision concernant la complexité et la longueur du mot de passe dépendra des informations auxquelles le site (et donc le mot de passe) donne accès.

Ma recommandation est la suivante: si c'est quelque chose d'important, utilisez un mot de passe complexe afin qu'en cas de compromission du système, les mots de passe d'autres personnes soient susceptibles d'être découverts en premier. Mais si c'est quelque chose de trivial et de commodité est plus important, prenez une chance sur un mot de passe plus faible, mais acceptez qu'un piratage puisse entraîner la perte d'accès au compte et / ou la divulgation d'informations à partir du compte.

Pour de nombreux propriétaires de sites, je soupçonne que la décision d'exiger des mots de passe complexes est une combinaison de FUD et du désir de minimiser l'impact d'une défaillance critique des contrôles en augmentant la durée des mots de passe par force brute, donnant ainsi plus de temps pour rectifier et minimiser l'utilisateur réel compromission de compte (même si un attaquant a accès aux hachages de mot de passe, il a probablement un accès système suffisant pour compromettre le système d'une autre manière de toute façon).

Vous avez oublié "aucun programmeur ne fait jamais d'erreur".
La seule réponse à ce jour qui aborde réellement la question de laisser les services gérer la protection du client.
@MichaelKjörling Je sens un soupçon d'ironie? Mais oui, d'accord et mis à jour. Merci.
@R15 Seulement un soupçon d'ironie. Le simple fait est que toute erreur de la part d'un programmeur dans la mauvaise partie du code peut conduire à des faiblesses exploitables, et il est loin d'être certain que même avec la révision du code, de telles erreurs sont détectées avant que quelqu'un ne parvienne à les exploiter et cela se transforme en un problème majeur. Aucune malveillance de la part d'un développeur n'est requise.
Désolé, je ne vois pas l'intérêt de la plupart des dangers - dans la plupart d'entre eux, un mot de passe plus long n'aiderait en aucun cas. Si j'ai un seul mot de passe court uniquement pour GMAIL, le seul inconvénient d'un mot de passe long est une attaque par force brute hors ligne. Et la plupart de vos scénarios vont probablement compromettre le compte sans avoir besoin d'un mot de passe, ou donner le mot de passe en texte clair ... Les scénarios dans lesquels seul le hachage est volé silencieusement pour une attaque de dictionnaire hors ligne ne sont qu'une fraction ...
1 et 2 pourraient compromettre le compte de quelque manière que ce soit. 3 sans hachage, la longueur du mot de passe n'est pas pertinente (et le salage est standard pour les grands sites) 4. Texte clair = longueur non pertinente 5. Zéro jour = changer votre PW = longueur non pertinente 6 & 7 = de toute façon ... Vous ne fournissez que des scénarios d'attaque généraux - la question est dans quel pourcentage un mot de passe long vous aiderait à l'atténuer?
@Falco, mon intention initiale de la liste était d'illustrer nos dépendances vis-à-vis du fournisseur de services et je ne voulais pas contraindre cela à `` juste '' le côté mot de passe des choses au cas où quelqu'un le prendrait à l'avenir et l'utiliserait comme une liste à cocher pour configurer un service. Je modifierai la réponse pour la rendre plus précise (même si je ne suis pas entièrement d'accord avec votre analyse).
Dans un monde vraiment idéal, nous n'aurions pas du tout besoin de mots de passe ou de mesures de sécurité. ;)
DaniloNC
2014-11-05 18:36:42 UTC
view on stackexchange narkive permalink

La recommandation de mot de passe long est de protéger les mots de passe contre le piratage si quelqu'un a accès au hachage de ce mot de passe.

Des outils comme hashcat peuvent facilement (en utilisant gpu) tester les hachages 93800M c / s md5

En tant qu'utilisateur, vous ne savez généralement pas comment le site stocke votre mot de passe, il est donc préférable d'utiliser un mot de passe long pour atténuer ces attaques.

Espérons que quels que soient les sites que vous utilisez ne stockent pas les mots de passe en texte brut, ce serait très mauvais et illustre la nécessité d'utiliser des mots de passe différents.
En pensant de cette façon, nous pouvons supposer que nous n'avons pas besoin d'un mot de passe long pour des services comme gmail. Comme il est très peu probable que leur base de données soit piratée et même si c'est le cas, il est plus improbable que quelqu'un cible votre nom d'utilisateur. Est ce juste? ou peut-être que cette hypothèse est bien trop optimiste?
@drpexe Mais là encore, les gens auraient pu dire la même chose à propos de LinkedIn.
Cette hypothèse est bien trop optimiste @drpexe ... il est plus sûr de supposer que chaque mot de passe sera piraté, car probablement on le fera, mais il n'y a pas vraiment de bon moyen de prédire lequel il finira par être.
@drpexe Vous ne pouvez pas supposer que Gmail (ou tout autre fournisseur) ne sera pas piraté. En fait, [Google _a_ été piraté avant] (https://en.wikipedia.org/wiki/Operation_Aurora).
@drpexe Recevez-vous des spams? Ensuite, un bot cible quelque part votre nom d'utilisateur.
@Jonathan Si le serveur stocke votre mot de passe sous forme de texte brut, un mot de passe plus fort ne vous aidera guère. Cependant, si le serveur utilise un mauvais hachage de mot de passe (comme par exemple en appliquant MD5 au mot de passe et rien de plus), vous pouvez rester en sécurité en utilisant un mot de passe fort.
@kasperd Bon point. Je parlais de ne pas réutiliser votre même mot de passe sur de nombreux comptes. Si un site le stocke en texte brut, il est très probable qu'il soit compromis et les pirates peuvent l'utiliser pour accéder à vos autres comptes.
@drpexe: Les anciennes instances de piratage ciblent la base de données. Ainsi, le hachage du nom d'utilisateur et du mot de passe de tout le monde (et non le mot de passe en texte brut) devient connu et téléchargeable par tout le monde sur Internet. À partir de cette base de données, les crackers ciblent ensuite le nom d'utilisateur de chacun pour augmenter leurs chances d'obtenir au moins un compte piraté (ou autant de comptes que possible). Pourquoi pas? Vous et la plupart des autres personnes contrôlez probablement votre compte bancaire en ligne via Gmail. La cible n'est pas Gmail. La cible est votre compte bancaire qui vous permet de réinitialiser le mot de passe via Gmail.
@slebetman si votre banque vous permet de réinitialiser votre mot de passe bancaire uniquement par e-mail, mieux vaut ** commencer immédiatement à chercher une autre banque **. normalement, vous devez vérifier la réinitialisation sur un autre canal (par téléphone ou même en personne)
@törzsmókus: La plupart mais pas Paypal. Je comprends que PayPal n'est pas une banque, mais ils acceptent de l'argent de votre part et gèrent l'argent que les gens vous donnent. Ils remplissent toutes les fonctions de base d'une banque et n'ont besoin que du courrier électronique pour contrôler. Imaginez prendre le contrôle du compte paypal d'un vendeur ebay occupé.
@slebetman:, vous avez fait valoir un point valable, bien que même Paypal offre une authentification à deux facteurs.
Xander
2014-11-05 20:37:07 UTC
view on stackexchange narkive permalink

Choisir de bons mots de passe est difficile. Les humains et notre penchant pour les modèles ne sont tout simplement pas très bons dans ce domaine. Multipliez cela par les dizaines de comptes que nous accumulons au fil du temps, et c'est la racine du problème.

Donc oui, éliminer les mauvais mots de passe et la réutilisation des mots de passe peut résoudre le problème de la création de cibles souples, mais cela ne résout pas le problème fondamental de la maintenance de tous ces comptes et mots de passe, ce qui conduit au mauvais les mots de passe et la réutilisation des mots de passe en premier lieu. Donc, il est bon de dire «suivez simplement de bonnes politiques de sécurité par mot de passe» et vous serez en sécurité, mais sans aborder le problème de la gestion des comptes, vous n'avez rien résolu.

Alors, quelle est la réponse? Utilisez un gestionnaire de mots de passe. Cela résout le problème. Lorsque vous déchargez le problème de création et de gestion de mot de passe vers un outil spécialement conçu à cet effet, vous obtenez des mots de passe forts par défaut et vous n'avez plus jamais besoin de réutiliser un mot de passe. Ce n'est pas une solution parfaite (rien ne l'est) mais c'est la meilleure que nous ayons pour le moment et rend les questions de complexité et de longueur du mot de passe sans objet, car lorsque vous n'êtes pas celui qui doit créer et mémoriser le mot de passe, vous ne vous souciez plus combien il est complexe et long, seulement qu'il est généré avec suffisamment d'entropie pour le rendre fort, et un gestionnaire de mots de passe vous le donne.

Je ne suis pas sûr que vous ayez compris. Pourquoi quelqu'un devrait-il utiliser un gestionnaire de mots de passe s'il peut simplement créer, pour chaque site Web différent, un mot de passe de 6 caractères facile à retenir?
@drpexe Ensuite, vous avez échoué à l'exigence de sécurité «facile à deviner» que vous avez mise en place. Il n'y a pas assez d'entropie dans les mots de passe de six caractères «faciles à retenir» pour qu'ils soient forts. Surtout lorsque vous commencez à parler de plusieurs dizaines à une centaine ou plus.
Pour les attaques hors ligne oui, mais pour les attaques en ligne non. Je suis d'accord que même un mot de passe de 6 caractères est difficile à retenir si vous en avez des tonnes, mais ce n'est pas vrai pour tout le monde
@drpexe Bien sûr, je ne dis pas que cela ne pourrait fonctionner pour personne ... Certainement que cela pourrait. Ce n'est tout simplement pas une excellente solution générale au problème.
Je suis d'accord avec la première partie, mais un gestionnaire de mots de passe ne résout vraiment rien.
Cela ne semble pas vraiment répondre à la question fondamentale.
@Lilienthal Je souligne principalement que la prémisse de base de la proposition est erronée, ce qui rend les détails non pertinents.
Plus explicitement, le problème est qu'il peut sembler facile de se souvenir de dizaines de mots de passe à 6 caractères. Mais se souvenir même de dix mots de passe à 6 caractères * à pleine entropie * est impossible pour un humain de souffrir. Je suggérerais de le noter dans votre réponse, car c'est ce que propose réellement le PO et vous n'indiquez pas explicitement que c'est là où la question est erronée.
@Xander: Quelle est la différence entre utiliser un gestionnaire de mots de passe, et réutiliser le même mot de passe partout, et les écrire tous sur post-its * (sauf que vous devez faire confiance à un tiers dans le premier cas) *?
Stan Rogers
2014-11-06 18:46:29 UTC
view on stackexchange narkive permalink

Les seules hypothèses saines pour les développeurs Web utilisant l'authentification par mot de passe local sont:

  1. que leurs utilisateurs vont utiliser le même mot de passe pour tout ;

  2. que le site a déjà été compromis, même s'ils n'ont pas encore fini de l'écrire; et

  3. il y aura une responsabilité juridique très coûteuse liée aux conséquences de ce compromis.

(Veuillez noter que Je n'implique pas, et je ne suggère pas non plus, que tous - ou même tous - les développeurs Web sont sains d'esprit ou en savent suffisamment sur ce qu'ils font pour se rendre compte que ce qu'ils font serait insensé s'ils savaient ce qu'ils faisaient. Les hachages simples, qu'ils soient simples ou salés, sont suffisamment proches du texte brut pour ne rien faire de nos jours, et pourtant on trouve toujours du texte brut, des MD5 non salés, etc. sur le Web dans des soi-disant «didacticiels» que les gens copient et collent en production sur des serveurs partout.)

Ces hypothèses signifient que même si j'exécute un site avec une application extrêmement locale dédiée à permettre aux gens de lister des recommandations pour des friandises pour hamsters biologiques, fermières et cultivées localement, je dois traiter votre mot de passe comme si c'étaient vos comptes PayPal, eBay et e-mail tous combinés (car il y a de bonnes chances que ce soit effectivement le cas). Et cela signifie que pour protéger mon propre derrière plutôt précieux, je dois prendre au moins quelques mesures minimales pour protéger votre précieux derrière, que cela vous plaise ou non. Idéalement, cela signifie faire de votre mot de passe quelque chose qui ne peut pas être forcé de manière triviale (en utilisant un sel crypto-aléatoire et une fonction de dérivation de clé coûteuse) et mettre une limite inférieure absolue sur le nombre de caractères (idéalement sans limite supérieure, dans des limites raisonnables ), tout en vous permettant d'utiliser quelque chose dont vous vous souviendrez facilement (rien de tout cela "ne doit utiliser au moins un caractère accentué, un emoji et un hiragana" absurde). En d'autres termes, vous permettre d'utiliser un mot de passe très court expose mes fesses personnelles à des dangers injustifiés, alors ne vous attendez pas à ce que je le permette. Et c'est si mon site ne garde aucun secret sauf votre mot de passe. S'il y a des données personnelles qui vous sont associées et dont je suis responsable, attendez-vous à ma paranoïa sur votre nom pour augmenter considérablement.

Taemyr
2014-11-06 21:04:23 UTC
view on stackexchange narkive permalink

Il y a des problèmes avec certaines de vos hypothèses.

309 millions est un nombre ridiculement petit s'il y a une attaque hors ligne. Et lors d'une attaque hors ligne, même avec un bon sel, l'attaquant s'attaquera d'abord au fruit à portée de main. C'est à dire. trouvez les mots de passe qui se trouvent dans le dictionnaire, puis les mots de passe courts, puis d'autres mots de passe simples. L'importance de ce problème est cependant discutable - il est fort probable qu'un attaquant ayant accès à la base de données de mots de passe ait également accès à tout ce qu'il recherche. - Cela suppose qu'aucune réutilisation de mot de passe n'a lieu.

309 millions, comme vous le constatez, représentent un espace de recherche trop important pour être utilisé par force brute lors d'une attaque en ligne. Cependant, vos hypothèses qui conduisent à ce nombre sont douteuses. En tant qu'espèce, nous sommes notoirement pauvres pour deux tâches pertinentes; venir avec des séquences vraiment aléatoires et des séquences aléatoires rappelant. Cela signifie que votre entropie est nettement inférieure si vous avez sélectionné un mot de passe à 6 caractères. Cela peut être évité si vous utilisez un gestionnaire de mots de passe ou un utilitaire similaire, mais dans ce cas, vous pouvez également opter pour un mot de passe plus long pour vous protéger contre les attaques hors ligne.

En conclusion; obtenir une bonne entropie dans votre mot de passe dépend du caractère d'entropie pr et de la longueur de votre mot de passe. - Si vous avez une bonne entropie par caractère, vous pouvez accepter un mot de passe plus court. Cependant, cette approche est mal adaptée à la plupart des humains, car nous nous souvenons mieux des chaînes plus longues avec une entropie plus faible par caractère que des chaînes plus courtes avec une entropie élevée par caractère. Nous sommes également capables de générer des chaînes aléatoires, et le conseil que vous citez s'adresse aux personnes qui n'utilisent pas de gestionnaires de mots de passe pour générer des mots de passe.

Falco
2014-11-07 19:39:53 UTC
view on stackexchange narkive permalink

Utiliser un mot de passe complexe pour un seul site sécurisé équivaut à utiliser une serrure spéciale sur la porte de votre appartement, ce qui rend l'ouverture de la porte plus longue et vous protège mieux de 1% de tous les cambrioleurs

La plupart des réponses traitent de toutes sortes de scénarios d'attaque, qui pourraient compromettre votre mot de passe, mais pour décider si un mot de passe plus petit (6 caractères) est suffisant si vous ne l'utilisez que sur un seul site avec une bonne sécurité raisonnable, nous n'avons qu'à comparez un seul chiffre:

Combien d'attaques fonctionnent beaucoup mieux sur un mot de passe faible que sur un mot de passe fort?

Si la protection en ligne par force brute est suffisamment forte (une prémisse dans la question ) le seul scénario d'attaque pertinent est le forçage brutal hors ligne. Dans tous les autres scénarios d'attaque (lecture de mot de passe en clair, vol de session, ingénierie sociale, phishing, falsification de l'utilisateur), la complexité du mot de passe ne joue aucun rôle (s'il ne s'agit pas d'un mot de passe standard)

Alors, comment beaucoup de% des attaques sur votre compte ou sur gmail utiliseront probablement un forçage brutal hors ligne possible de votre mot de passe? Probablement presque aucun. Le forçage brutal ne fonctionnera qu'avec une version hachée ou chiffrée de votre mot de passe. Partout ailleurs, votre mot de passe est en texte clair (donc la complexité n'est pas pertinente) ou pas du tout pertinent (par exemple, identifiant de session, accès direct d'un initié au serveur de stockage de courrier)

Les seules instances où votre mot de passe est chiffré ou haché sont 1. hachage salé dans la base de données et 2. transfert de votre mot de passe via HTTPS

  1. Hash salé dans la base de données Si le pirate a eu accès à la base de données où tous les utilisateurs- les mots de passe sont stockés (probablement l'un des meilleurs points sécurisés de l'infrastructure) mais n'ont pas pu accéder à d'autres services (comme un identifiant de session actif ou un accès direct au compte) Puis une attaque hors ligne contre votre hachage salé avec une attaque par force brute utiliserait rapidement votre mot de passe.

  2. Transfert HTTP Très improbable car l'attaquant devra forcer brutalement votre flux HTTPS pour isoler votre mot de passe, donc la longueur du mot de passe n'a probablement pas beaucoup d'importance.

Donc, le seul scénario dans ce qu'un mot de passe long vous protège réellement est si quelqu'un accède au stockage de données (probablement) le plus sécurisé de l'infrastructure sans que personne ne s'en aperçoive - et sans accès suffisant pour accéder plus facilement à votre compte. Je dirais que ce scénario est vraiment improbable, car dans le grand nombre de vulnérabilités et d'attaques contre votre compte, ce n'est qu'un type d'attaque improbable.

Il est si peu probable que cela se soit produit au moins 7 fois l'année dernière dans de grandes entreprises. Voici une liste des [violations majeures] (https://haveibeenpwned.com/PwnedWebsites). Vous remarquerez peut-être que GMail est sur cette liste. Bien qu'il ne représente qu'une petite partie de toutes les attaques, quand cela se produit, il expose des millions de mots de passe. Si vous regardez la probabilité qu'une personne donnée ait un compte sur un site piraté, les chances sont en fait assez bonnes. Cette liste comprend Yahoo, Adobe, Gmail et Snapchat. Je pense qu'il y a de bonnes chances pour qu'une personne donnée ait vu son mot de passe violé au cours des deux dernières années.
@Tyrsius dans ces cas, un mot de passe "complexe" ferait-il une différence? Au fil du temps, je suis plus enclin à croire que le mot de passe le plus sûr est celui qui n'existe pas.
@prusswan Oui, avoir un mot de passe complexe vous donne plus de temps avant que le mot de passe puisse être déterminé. Cela vous permet de changer le mot de passe sur le site violé. Plus vous disposez de temps, plus complexe. Une complexité suffisante combinée à une méthode de hachage de mot de passe appropriée (comme bCrypt) rendra la tâche si difficile qu'elle ne sera probablement pas terminée avant que l'attaquant n'abandonne. Le fait est que les chances sont que cela * va * vous arriver, et il vaut mieux être préparé avec un mot de passe difficile à déchiffrer. Encore mieux si le mot de passe est unique, et le craquer n'exposera que le compte piraté.
@Tyrsius il n'y a aucune preuve que gmail a été violé. Si vous suivez la discussion sur la "liste Gmail", il n'y a aucune preuve que les hachages pw ont été effectivement volés, et la plupart des gens indiquent que les connexions proviennent probablement de xtube ou d'autres sites ...
@Falco C'est bon à savoir. Je pense que mon argument est toujours valable: bien que ces attaques soient moins fréquentes, lorsqu'elles surviennent, elles se traduisent par des centaines de milliers, parfois des millions, de violations d'informations d'identification. Au lieu de regarder la fréquence des attaques, nous devrions nous pencher sur le nombre de personnes touchées par an. Cela donne une bien meilleure indication de la probabilité que vous soyez affecté par ce type d'attaques.
James_1x0
2014-11-06 20:33:07 UTC
view on stackexchange narkive permalink

Ma réponse est simplement oui. Vous ne pouvez pas supposer que les sites utilisent des méthodes de hachage salées. Par exemple, MD5 est toujours utilisé dans la nature et les gens pensent que c'est parfaitement acceptable.

Mais avec un mécanisme de hachage fortement salé, il n'y a tout simplement aucun moyen que quelqu'un puisse accéder au mot de passe réel, même s'il l'est une passe de char faible. Surtout si votre serveur est correctement sécurisé et que votre API prend les précautions nécessaires pour les attaques par force brute.

Mark
2014-11-07 22:23:20 UTC
view on stackexchange narkive permalink

Bien qu'il soit plus sûr de créer des mots de passe compliqués, je recommande toujours de les rendre faciles en même temps, et d'avoir également une unicité par site Web. La seule façon dont ce serait une vulnérabilité est si vous tombez dans une escroquerie par hameçonnage, c'est pourquoi il est important d'avoir plusieurs façons de récupérer votre adresse e-mail, car votre e-mail est votre moyen de récupérer d'autres comptes.

Voici les règles que j'utilise personnellement:

  • Au moins 8 ou 10 caractères, de préférence 12 ou plus
  • Utilisez quelque chose qui signifie quelque chose pour vous
  • Les abréviations ou l'utilisation d'un nombre au lieu d'une lettre peuvent être faciles mais efficaces
  • Si vous le souhaitez, vous pouvez utiliser un préfixe ou un suffixe pour garder les mots de passe uniques

Donc pour exemple: ThisIsMyPassword14si

Utilise: des lettres majuscules, des chiffres et le suffixe de si pour l'échange de pile, et a un an de quelque chose qui signifie quelque chose personnellement. Ce type de mot de passe apparaît généralement toujours comme un mot de passe fort.

Il existe également d'autres services qui vous permettent de vous connecter à l'aide d'un autre service basé sur des jetons. Je pense que c'est une excellente idée, car vous pouvez vous déconnecter chaque fois que vous souhaitez supprimer un accès, et vous n'avez pas besoin d'un mot de passe pour chaque service (en supposant que les développeurs ont conçu le processus correctement) .HOWEVER, vous devez être plus faites attention au mot de passe de ce service et disposez de plusieurs options de récupération au cas où vous le perdriez pour une raison quelconque.

Je pense que google va dans la bonne direction ici, en ayant plusieurs options de récupération et 2- authentification factorielle. Le problème est que presque tout peut être usurpé si vous ne faites pas attention à la page qui demande vos informations.

Nous espérons qu'à l'avenir, il y aura un appareil sur vous, comme un téléphone mobile, qui pourra servir d'habilitation de sécurité pour les services Web. Les applications sont contrôlées par le distributeur, donc avoir une application par plate-forme pour obtenir la demande d'accès et demander votre permission sera le bon moyen de la gérer à l'avenir, nous n'avons donc pas à nous soucier de ce mot de passe individuel pour tout ce qui n'a aucun sens.

... un jour ...

dibble
2014-11-06 12:06:43 UTC
view on stackexchange narkive permalink

N'oublions pas que quelqu'un n'a pas besoin de forcer brutalement une cible. Ils peuvent essayer le même mot de passe avec de nombreuses cibles, rendant vulnérables les utilisateurs avec les mots de passe les plus courants.

Cela ne fonctionne que si l'utilisateur a un mot de passe comme "123456" ou quelque chose de très courant.
@drpexe vous surestimez la diligence des utilisateurs: http://stricture-group.com/files/adobe-top100.txt
Irving Poe
2014-11-08 16:36:10 UTC
view on stackexchange narkive permalink

Vous avez oublié l'attaque physique locale! Un mot de passe long et complexe rend le repérage des épaules beaucoup moins susceptible de réussir. Même si quelqu'un regarde mon clavier, il n'obtiendra pas mes mots de passe à moins qu'il ne soit Rainman. (Ne peut pas commenter)

Shai
2014-11-09 11:15:21 UTC
view on stackexchange narkive permalink

Lors de l'utilisation d'un système d'authentification fiable à deux facteurs, il est raisonnable d'utiliser un mot de passe moins sécurisé. Il est toujours préférable d'utiliser un mot de passe difficile généré par un générateur de mots de passe utilisant des majuscules et des minuscules, des chiffres et des symboles.

Mais ceux qui ne déploieront pas un mot de passe aussi sécurisé; dans le cas d'un service qui offre une authentification à deux facteurs, ces personnes peuvent se sentir raisonnablement en sécurité.

Amaresh Pattanayak
2014-11-06 14:36:55 UTC
view on stackexchange narkive permalink

Vous ne pouvez pas sécuriser votre mot de passe en utilisant une combinaison à grande échelle.Pour cela, vous devez crypter votre mot de passe.Certains algorithmes de cryptage courants sont md5, SHA-1, SHA-256 stc, mais ce n'est toujours pas sécurisé à 100%. L'attaquant peut déchiffrer votre mot de passe en utilisant des outils comme hash cat avec un GPU élevé comme mentionné ci-dessus.

Donc, en un mot, aucun algo n'est sécurisé à 100%, mais vous pouvez générer un mécanisme de mot de passe fort en utilisant des sels avec la cryptographie existante algos.Voici quelques algorithmes de cryptage célèbres.

http://en.wikipedia.org/wiki/Comparison_of_cryptographic_hash_functions

le hachage n'est pas la même chose que le chiffrement


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...