J'ouvre un nouveau sujet pour discuter des différentes tactiques de mots de passe. La discussion a été historiquement lancée sur le fil "Forge" par le post suivant, j'en recopie le début pour pouvoir suivre.

Je ne suis pas d'accord !
https://xkcd.com/936/

Mot de passe constitué de la concaténation de 4 mots FTW ! :o)

Alors je suis peut-être parano, mais quand un site me propose de "remplir deux trucs obligatoires pour retrouver mon mot de passe si je le perds", je tape une dizaine de touches au hasard sur mon clavier et je ne les note nulle part.

Concernant les mots de passe, j'ai aussi un mot de passe par site avec un bout de contexte, mais je suis arrivé un peu au bout de ma vie au niveau de ce qui était mémorisable. Ce d'autant que Firefox se souvient de plusieurs de mes mots de passe, et que donc finalement, le nombre de mots de passe que je dois taper réellement est assez faible. Je ne me suis jamais posé la question de savoir si c'était sûr de faire mémoriser mes mots de passe par Firefox par contre, c'est vrai (bon par contre si votre contre-attaque c'est "donc on s'introduit chez toi et on se connecte où on veut" bah mon ordi est quand même protégé par mot de passe).

En fait, je ne sais toujours pas ce qui serait la meilleure solution pour vraiment stocker plein de mots de passe. Là j'ai à peu près 150 mots de passe différents, pour tout un tas de sites sur lesquels je ne me connecte en pratique quasi-jamais. Écrire ses mots de passe quelque part, stocké dans un endroit sûr ? Utiliser moins de mots de passe (les partager entre sites) ? Déconnecter et ne plus avoir que deux mots de passe, celui de sa carte bleue et celui de magic-ville ? N'utiliser que des sites qui proposent la technologie "one time password" ? (à un moment pic de ma vie j'avais 2 clefs "one time password" : un pour le travail, un pour world of warcraft - je m'étais fait hacker mon compte, donc j'avais opté pour cette solution après avoir, un peu comme JMB, eu la chance de récupérer tous mes objets volés par le hacker grâce à un maître du jeu ; aujourd'hui je n'ai plus qu'une connexion par "one time password", quand je paye en ligne avec ma banque)

Je voulais rebondir sur plusieurs parties de la discussion, mais déjà sur cette partie-là :

Madmox disait être pour les passphrases, mais ajoutait que les exemples "KevinDupond" ou "motdepasse" se craquent en 3 secondes avec un PC normal à partir du hach.

Je voulais être sûr d'avoir bien compris : l'idée de l'attaque, c'est que l'attaquant a accès au serveur d'un site web, qui, pour gérer les mots de passe, a stocké une version hachée des mots de passe ? Et du coup l'attaque c'est de tester des trucs "bien connus" (attaque par dictionnaire dont tu parles ensuite ?) pour comparer au haché ?

Donc l'attaquant est capable de se connecter au serveur, de récupérer la fonction de hachage ainsi que les hachés des mots de passe, puis de faire une boucle sur des mots de passe "classiques" jusqu'à tomber sur un mot de passe qui a le même haché, ce qui implique que les deux mots de passe sont égaux.

Mais qu'est-ce qui, au départ, permet de faire la liste des "mots de passe classiques" à tester ? Cette fois-ci ce n'est pas un ordinateur qui peut le faire, il faut un peu de ressources humaines au départ pour avoir cette liste de mdp classiques j'imagine ?

Jayrems à été banni pour moins que ça :)

J'avoue. Est ce que ZS peut bannir l'utilisateur ZeSword qui flood le gen.
Merci d'avance !

Ça risquerai de refoitre le feu au serveur ça, non ?

Y a des tas de types d'attaque de type "force brute". La plus performante c'est en effet de récupérer le hash (via fuite de la base de données par exemple), de tester un par un une liste de mots de passe avec la même fonction de hashage que celle utilisée par le site piraté, et de s'arrêter quand le hash correspond.

Des dictionnaires de ce type sont disponibles un peu partout, d'ailleurs les composants qui permettent de mesurer la force d'un mot de passe en font usage (ex : mots de passe les plus utilisés, liste des prénoms français les plus courants, liste des mots les plus utilisés sur wikipédia dans une langue donnée, etc.). Les plus efficaces sont bien connus des hackers et disponibles très facilement sur le net. Il existe même des "rainbow tables", qui sont en fait une liste de mots de passe et leur hash selon une fonction de hashage donnée, et qui permettent d'accélérer l'attaque en évitant à l'algorithme de devoir recalculer le hash (cependant ces tables ne sont pas aussi efficaces si le hash est "salé").

Après le dictionnaire ne fait pas tout, l'algorithme qui va l'exploiter est aussi assez important : il peut se contenter de tester les mots de passe de la liste dans l'ordre, ou effectuer des combinaisons "stratégiques" de mots et de séparateur, combiner avec un peu de pure force brute, faire varier la casse... Après, si le mot de passe est suffisamment robuste et que l'attaquant ne cherche pas à craquer un compte en particulier, il a plutôt intérêt à utiliser un algorithme simple et passer à un autre compte plutôt que d'insister sur le même.

En fait ces techniques ne sont pas réservées aux attaques "hors ligne". Ça fonctionne assez facilement sur un site en ligne non piraté s'il n'est pas suffisamment sécurisé, notamment s'il ne bloque pas les tentatives de connexion après un certain nombre d'échecs. Il suffit à l'attaquant d'implémenter un robot qui va simuler des connexions de navigateur (possiblement en parallèle voire depuis plusieurs machines, voire un "botnet") en faisant varier login/mdp jusqu'à ce que le serveur réponde "OK". C'est beaucoup plus lent qu'une attaque hors ligne, mais avec un mot de passe aussi faible que "James1975" et une attaque distribuée utilisant un dictionnaire adapté, ça peut prendre un temps dérisoire... La démo de zxcvbn-ts donne d'ailleurs des estimations statistiques très intéressante (mais avec un dictionnaire anglais seulement).

Ce n'est d'ailleurs pas si simple de se protéger contre ce type d'attaque pour le propriétaire du site non plus :
- S'il bloque l'adresse IP qui échoue trop de fois à la suite, il risque de bloquer toute une entreprise dans laquelle tous les employés partagent l'IP du proxy. En plus, l'attaquant a toujours la possibilité de lancer son attaque de manière distribuée (botnet) et donc d'ignorer le blocage si son réseau est suffisamment grand.
- S'il bloque le compte, l'attaquant peut choisir de lisser son attaque sur plusieurs comptes en même temps s'il ne cherche pas à en pirater un en particulier, voire d'exploiter ce mécanisme de blocage pour bloquer l'accès au site à ses utilisateurs légitimes.
- etc.

Personnellement j'ai mis en place au boulot un mécanisme de blocage temporaire par adresse IP (blocage des tentatives de connexion provenant d'une IP donnée si X connexions échouées dans les Y dernières minutes), ça limite déjà pas mal le "niveau technique minimum" de l'attaquant sans devoir déployer des ressources coûteuses complexes à maintenir (Web Application Firewall, etc.).

(remarque : le blocage par adresse IP, avec IPv6 et la possibilité pour tout un chacun de disposer de milliards de milliards d'adresses différentes depuis une seule machine, c'est plus aussi simple... y a moyen de bloquer tout un préfixe, mais avec des risques de faux positifs ou faux négatifs non négligeables)

JRx7!!!!3G4F est un bon mot de passe. Je pense que si on l'utilisais tous, ça règlerait tous les problèmes de sécurité.
L'avantage c'est que si on l'oubliait, ça donnerait le dialoggue suivant avec n'importe qui :
- Hey, c'est quoi mon mot de passe, déjà ?
- C'est pas JRX7!!!!3G4F , en tout cas, moi c'est celui que j'utilise : c'est un bon mot de passe.
Pas de problème d'oubli de mot de passe.

Ze il spammé le mm topic ça passe mieux :)