L'usage de mots de passe reste encore aujourd'hui le moyen le plus utilisé pour le contrôle d'accès en informatique. Le talon d'Achille des mots de passe est pourtant connu de longue date : il s'agit des utilisateurs, qui choisissent des mots de passe faciles à mémoriser. Malheureusement, un mot de passe facile à mémoriser est souvent synonyme de mot de passe facile à casser. Cet article a pour objectif de présenter aux administrateurs de systèmes les outils les plus efficaces aujourd'hui pour tester la solidité des mots de passe des utilisateurs de leurs systèmes.
1. Introduction
Au-delà des bonnes pratiques pour le choix des mots de passe, il est important de porter attention à la technique utilisée pour leur stockage.
Une première approche consiste, pour le vérificateur, à stocker intégralement les mots de passe dans un fichier ou une base de données. L'actualité montre toutefois que cette approche est peu recommandable : les bases de données qui ont fuité sur Internet ne sont pas rares et les cibles sont souvent de grosses entreprises. La maintenance du système peut aussi amener des personnes à avoir accès à la base de données. Lorsqu'un mot de passe est révélé, non seulement le système considéré est compromis, mais l'attaquant peut également tenter d'utiliser les noms d'utilisateur et les mots de passe sur d'autres systèmes largement utilisés, comme Gmail, Facebook, Twitter, etc.
Une procédure qui permet de prouver que l'utilisateur connaît le mot de passe sans avoir à le stocker de manière...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
[1] Bruce Schneier, « Choosing Secure Passwords », https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html
[2] https://wiki.skullsecurity.org/Passwords
[3] https://digi.ninja/projects/cewl.php
[4] https://bitbucket.org/mattinfosec/wordhound
[5] Alain Schneider, « Rainbow Tables à espace probabiliste », SSTIC 2011, https://www.sstic.org/2011/presentation/rainbow_tables_probabilistes/
[6] Site officiel de John the Ripper : http://www.openwall.com/john/
[7] Site officiel de hashcat : http://hashcat.net/hashcat/
[8] Site officiel de cudaHashcat : http://hashcat.net/oclhashcat/
[9] Site officiel d'ophcrack : http://ophcrack.sourceforge.net/
[10] Site officiel de rcracki : https://www.freerainbowtables.com/