Ordinateurs

Une nouvelle méthode de cryptage évite les piratages en enregistrant votre mot de passe à plusieurs endroits – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

L’un des problèmes centraux de la sécurité informatique moderne est la nécessité de protéger une quantité sans cesse croissante de données utilisateur contre une multitude de menaces potentielles. Des chercheurs de la société de sécurité RSA ont proposé une nouvelle méthode pour sécuriser les mots de passe contre les piratages de bases de données : les briser en morceaux et les stocker dans des emplacements de séparation. Du point de vue de l’utilisateur, rien ne changerait – vous visiteriez un site Web, taperiez votre mot de passe et vous connecteriez normalement.

L’authentification côté serveur, cependant, serait considérablement différente. Actuellement, lorsque vous transmettez un mot de passe à un site Web, le mot de passe est généralement haché ou crypté d’une manière ou d’une autre. Le serveur ne stocke pas réellement votre mot de passe en clair, mais la valeur cryptée de votre mot de passe. Les fonctions de hachage cryptographique sont théoriquement réversibles, mais les hachages bien conçus sont impossibles à forcer brutalement dans des délais raisonnables, en utilisant du matériel conventionnel. Le problème avec cette approche est qu’elle semble bonne en théorie, mais qu’elle est souvent défectueuse en pratique.

Cryptage du mot de passeCe que la RSA propose, c’est un système cela diviserait un mot de passe en deux moitiés, puis stockerait chaque moitié dans des emplacements différents – peut-être sur un disque dur différent dans le même centre de données, ou peut-être à l’autre bout du monde. Les versions séparées sont ensuite à nouveau hachées pour créer une nouvelle chaîne. Les deux serveurs de mots de passe compareraient alors la nouvelle chaîne pour déterminer si les valeurs de hachage correspondent. S’ils le font, le mot de passe est légitime. S’ils ne le font pas, la connexion échoue.

Psssssst :  Il pourrait être impossible de récupérer les données d'un MacBook 2018 si la carte mère tombe en panne

Le partage du mot de passe entre plusieurs serveurs garantit que si un serveur était compromis, les pirates n’obtiendraient que des valeurs de hachage réduites de moitié sans aucun moyen de les combiner dans un schéma d’authentification approprié. Sans connaissance de la deuxième fonction de combinaison, il n’y a aucun moyen de rétroconcevoir les hachages en texte clair. Les hachages de mot de passe réduits de moitié eux-mêmes se rafraîchiraient périodiquement, limitant davantage l’utilité d’un piratage de base de données.

Vulnérabilités

Données du rapport sur les vulnérabilités de WhiteHat Security, 2012

Quant à l’impact réel d’une telle approche, il y a de bonnes et de mauvaises nouvelles. La bonne nouvelle est que la méthode de RSA consistant à diviser et à combiner les hachages de mot de passe aurait empêché les attaques, comme celui qui a frappé LinkedIn, d’avoir des conséquences sur la sécurité. La mauvaise nouvelle est que la méthode elle-même est seulement aussi bonne que les spécificités de sa mise en œuvre (la propre sécurité de LinkedIn a été mal implémentée) et qu’elle ne peut pas traiter les compromis de comptes individuels résultant d’infections par des logiciels malveillants (c’est-à-dire une erreur de l’utilisateur).

Ce dernier numéro met en lumière l’un des faits les plus frustrants concernant la sécurité en ligne. La taille et la portée des vecteurs d’attaques techniques sont écrasantes et changent chaque année à mesure que de nouvelles méthodes sont découvertes ou deviennent à la mode. Pourtant, l’approche RSA comble au moins une faille potentielle, et elle est évolutive. L’implémentation actuelle utilise deux serveurs, mais la méthode pourrait être déployée sur quatre emplacements distincts ou plus.

Psssssst :  Raspberry Pi 4 maintenant disponible avec 8 Go de RAM, système d'exploitation 64 bits

Maintenant lis: Chapeau noir baissé : qu’est-il arrivé aux hackers les plus célèbres du monde ?

Bouton retour en haut de la page