Mots de passe et accès au système
Accès non autorisé au système
Les mots de passe et les politiques d’authentification des utilisateurs protègent les données critiques et sensibles collectées par votre application contre tout accès par des utilisateurs non autorisés. Les pirates informatiques — les utilisateurs malveillants qui tentent d’obtenir un accès non autorisé aux systèmes et aux données — utilisent une variété d’approches pour identifier et exploiter les mots de passe peu complexes et les politiques de sécurité peu rigoureuses. Deviner le mot de passe d’un utilisateur est appelé craquage.
Dans une attaque par force brute, un pirate fait une série de tentatives pour déchiffrer le mot de passe d’un utilisateur et réussir à se connecter. Avec une attaque par force brute, le pirate tente toutes les combinaisons possibles de caractères, une par une, jusqu’à ce qu’il arrive à ses fins.
Dans une attaque par dictionnaire, le pirate utilise un dictionnaire — une liste contenant des mots de passe connus ou présumés — pour augmenter ses chances de réussite. Un pirate informatique peut ajouter des entrées à son dictionnaire en :
- Identifiant les mots courants, comme motdepasse.
- Effectuant des recherches sur le site Internet d’une organisation pour trouver des termes communs au sein de l’organisation, comme un slogan ou l’année de sa fondation.
- Obtenant des mots de passe connus à partir d’un piratage réussi d’un site différent.
Par mesure de sécurité, les mots de passe sont souvent stockés sous une forme convertie au moyen d’un processus appelé hachage. Avec ce processus, un algorithme est utilisé pour générer un nombre, appelé code de hachage, à partir d’une chaîne de texte. Par exemple, le mot de passe motdepasse
est converti en code de hachage 5f4dcc3b5aa765d61d8327deb882cf99
.
Le hachage aide à sécuriser les mots de passe car il est impossible de décrypter le code de hachage pour retrouver sa forme originale. Au lieu de cela, une chaîne de texte telle qu’un mot de passe est hachée et comparée à un code de hachage précédemment généré, connu pour provenir d’une chaîne de texte valide. Par exemple, lorsqu’un utilisateur définit son mot de passe, celui-ci est stocké dans un format haché. Lorsque l’utilisateur tente de se connecter plus tard, le système hache le mot de passe soumis et compare la valeur hachée avec le code de hachage stocké. Si les valeurs correspondent, le mot de passe est considéré comme valide et l’utilisateur est connecté.
Pour craquer un mot de passe haché, les pirates utilisent une attaque par table arc-en-ciel. Dans une attaque par table arc-en-ciel (rainbow table), un pirate crée une table de recherche contenant une liste de mots de passe et de codes de hachage possibles, puis compare chaque code de hachage à une liste de mots de passe hachés. Lorsque les codes correspondent, le pirate identifie le mot de passe à partir de sa table de recherche.
Vérifiez vos connaissances avec l’interaction suivante.
Sécurité des mots de passe
De nombreuses failles de sécurité se produisent lorsqu’un pirate craque un mot de passe à niveau de sécurité faible pour accéder à des données et des systèmes sensibles. La sécurité d’un mot de passe est considérée comme faible si elle répond à l’une des conditions suivantes.
- Le mot de passe comporte moins de huit caractères.
- Le mot de passe est composé d’un seul type de caractères, p. ex., uniquement des lettres.
- Le mot de passe est un mot ou une expression courante, comme motdepasse.
- Le mot de passe contient des caractères qui se répètent ou des séquences simples, comme 111 ou abcdef (les six premières lettres de l’alphabet français).
- Le mot de passe contient des substitutions de caractères communes, telles que @ pour a ou 0 pour o.
Si un mot de passe est assez fort, le pirate informatique peut abandonner avant d’avoir craqué le mot de passe. La force du mot de passe dépend de trois facteurs : la longueur, la complexité et la prévisibilité.
Longueur
Augmenter la longueur d’un mot de passe augmente le nombre de combinaisons possibles à tester. Le nombre maximum de combinaisons possibles d’une chaîne de caractères est xn, où x est le nombre de caractères permis, et n est le nombre de caractères dans la chaîne. Si un mot de passe comprend quatre caractères et ne contient que les lettres minuscules a-z, il n’y a que 264 — ou 456 976 — combinaisons possibles de caractères. L’augmentation de la longueur du mot de passe à 8 caractères augmente le nombre de combinaisons possibles à 268, ou 208 827 064 576.
Complexité
L’augmentation du nombre de caractères autorisés augmente également le nombre de combinaisons. Pour cette raison, les politiques de sécurité nécessitent souvent des majuscules (A-Z) et des lettres minuscules, les chiffres 0-9, et des caractères spéciaux tels que des signes de ponctuation et des opérateurs arithmétiques. Si un mot de passe de huit caractères peut contenir les lettres a-z et A-Z, les chiffres 0-9 et 30 caractères spéciaux` ~! @ # $ % ^ & * ( ) _ + - = [ ] | \ : " ; ' < > ? , . /), le nombre de combinaisons possibles augmente à (26 + 26 + 10 + 30)8, ou 5 132 188 731 375 616.
Prévisibilité
Les pirates utilisent souvent des dictionnaires de mots de passe courants, comme motdepasse, lorsqu’ils craquent un mot de passe. Ces dictionnaires comprennent souvent des variations avec des substitutions de caractères courantes telles que @ au lieu de a ou $ plutôt que s. Par exemple, le mot de passe p@$$word semble sûr mais est considéré comme prévisible en raison des substitutions courantes.
Au lieu de cela, utilisez une phrase inhabituelle, comme mon aigle nage dans la soupe au poulet. La phrase entière doit être hachée pour supporter une attaque par table arc-en-ciel, ce qui diminue la probabilité de réussir à déchiffrer le mot de passe. D’autres stratégies consistent à utiliser des lettres capitales aléatoires dans le mot de passe, et des caractères spéciaux à la place des espaces, plutôt que des substitutions de lettres communes.
Vérifiez vos connaissances avec l’interaction suivante.
Want to help us improve this content?