Les mots de passe semblent être la version moderne du hairshirt médiéval.

Ils semblent exister en tant qu'irritants pour la vie en ligne d'aujourd'hui. Vous voulez accéder à votre PC? Mot de passe s'il vous plait. Vous voulez ajouter un statut Facebook? Mot de passe! Vous voulez vérifier votre compte bancaire en ligne? Mot de passe requis!

Alors, comment créez-vous de bons? En fait, quels sont les bons? Comment vous en souvenez-vous? Comment pouvez-vous réduire l'irritation?

Pour vous authentifier auprès des systèmes que vous utilisez tous les jours - pour leur prouver que vous êtes bien ce que vous dites - vous utilisez un mot de passe. En théorie, ce mot de passe n’est connu que de vous-même et du système auquel vous essayez d’accéder, que ce soit Facebook, Twitter, votre banque, votre email, votre blog ou autre chose. C'est un secret à ne pas révéler à des tiers.

Le casse-tête de l’authentification est un autre élément essentiel - votre nom d’utilisateur - mais c’est généralement votre adresse électronique ou votre nom concaténé, facile à découvrir. Votre mot de passe est donc le «sésame ouvert» qui révèle tout sur vous. Comment pouvez-vous vous assurer que votre vie privée reste intacte et que le secret persiste??

Abordons la question du point de vue d'un pirate black hat qui veut vous imiter pour un système quelconque. Pour augmenter les enjeux, supposons que le système soit votre banque et que le pirate informatique veuille tester votre limite de crédit. Comment peut-il obtenir votre mot de passe?

Regarder et apprendre

La première méthode est la plus simple: il vous surveille pendant que vous tapez votre mot de passe. De cette façon, peu importe la force de votre mot de passe. le pirate informatique vous surveille, vous y entrez. Je vais supposer que vous êtes au courant que quelqu'un surveille par-dessus votre épaule. La question est donc de savoir comment un pirate informatique pourrait-il vous surveiller??

En mars, RSA (producteur des systèmes SecurID utilisés par les entreprises et le département américain de la Défense) a été piraté. Une personne a réussi à accéder aux systèmes et réseaux internes et à voler des secrets relatifs à la clé d'authentification à deux facteurs SecurID..

Quelques mois plus tard, ils ont tenté de pirater Lockheed Martin, l'entrepreneur de la défense qui les utilise. Comment cela s'est-il fait? Simple - c'était une attaque de phishing.

Un courrier électronique censé concerner les plans de recrutement pour 2011 et contenant une feuille de calcul Excel a été envoyé à plusieurs membres du personnel discrets de la RSA, apparemment d'une agence de recrutement. La feuille de calcul contenait un objet Adobe Flash incorporé qui contenait une vulnérabilité de type «jour zéro». Une fois la feuille de calcul ouverte, ce malware a installé une porte dérobée sur la machine, ce qui a permis aux attaquants d'accéder au PC et au réseau..

À ce stade, tous les paris sont ouverts. L’attaquant pourrait installer un enregistreur de frappe et suivre exactement ce que vous tapez sur les écrans de connexion - il existe un mot de passe. Pire encore, ils pourraient télécharger les fichiers de mot de passe de votre système (ceux utilisés par System Account Manager), puis les décompresser avec un programme comme Ophcrack, qui utilise des techniques telles que les tables arc-en-ciel pour inverser les données de connexion hachées. Voilà tous tes mots de passe.

En fait, ce dernier scénario évoque le problème des mots de passe déchirés. Il y a deux étapes: deviner le mot de passe en utilisant un algorithme - généralement brute-force en essayant chaque permutation - et ensuite valider le mot de passe contre le système piraté.

Le problème avec la validation des mots de passe est que beaucoup de systèmes ont des sauvegardes intégrées. Généralement, le nombre de tentatives d’essai du mot de passe est limité au maximum avant que le système ne verrouille le compte en cours d’essai. Parfois, le système retarde aussi délibérément la réinitialisation de l’écran de connexion de quelques secondes pour rendre l’essai extrêmement lent de nombreux mots de passe..

Notez que le verrouillage de compte sur un ordinateur autonome Windows 7 est désactivé par défaut, alors qu'un PC sur un réseau d'entreprise peut l'activer. Si le système est incorporé dans un fichier - par exemple, la victime utilise un gestionnaire de mot de passe et que le pirate a réussi à capturer le fichier de mot de passe - le travail du pirate est beaucoup plus facile..

En substance, les protections en ligne (nombre limité de tentatives de mot de passe, délai entre les tentatives) ne sont plus en jeu et le pirate est libre de tenter autant de mots de passe qu'il le souhaite le plus rapidement possible. C’est là que la force du mot de passe entre en jeu.

La force du nombre

Lorsque nous accédons à une nouvelle ressource pour laquelle nous devons créer un mot de passe, on nous donne généralement quelques directives pour créer un mot de passe fort et nous déconseillons d’utiliser des mots de passe faibles. Les directives incluent généralement la création de mots de passe plus longs que certains minimums (par exemple, huit caractères), l’absence de mots normaux, l’utilisation de lettres majuscules et minuscules et l’utilisation de chiffres et de signes de ponctuation..

Avec un peu de chance, l’écran dans lequel vous entrez votre nouveau mot de passe aura une sorte de repère visuel pour montrer à quel point il est bon, comme une barre de progression colorée du rouge (mauvais) au vert (bon). Les pires systèmes sont ceux qui limitent le nombre de caractères à votre mot de passe, limitent les caractères utilisés à des lettres minuscules et des chiffres, etc. De telles directives produiront automatiquement des mots de passe faibles.

La force d'un mot de passe est mesurée par son entropie, en nombre de bits. Plus le nombre de bits est élevé, plus l'entropie est grande et plus il sera difficile de déchiffrer le mot de passe..

L'entropie est un concept de la théorie de l'information et une mesure de la prévisibilité d'un message. Par exemple, une série de lancers provenant d'une pièce équitable est imprévisible (nous ne pouvons pas dire ce qui va suivre) et a donc une entropie maximale. Texte en anglais - cet article, par exemple - est assez prévisible en ce que nous pouvons juger de ce qui va arriver. La lettre E apparaît beaucoup plus souvent que Q, s'il y a un Q, il est probable que le caractère suivant soit un U, et ainsi de suite..

On estime que le texte anglais a une entropie comprise entre 1 et 1,5 bits par caractère (8 bits). Dans un autre sens, l'entropie est une mesure de la compressibilité d'un message - la quantité de peluches que nous pouvons éliminer lors de la compression d'un message, tout en nous permettant de reconstituer le message d'origine à tout moment. Si vous le souhaitez, le message compressé contient uniquement le contenu informatif du message..

Nous avons tous compressé un fichier texte dans un fichier zip pour obtenir une compression de 70 à 80% ou plus; c'est juste une expression de l'entropie du texte.