Sécu­ri­ser les nouveaux mots de passe

J’ai récem­ment parlé complexité de mot de passe mais en réalité le problème est souvent ailleurs. La taille et la complexité n’ont aucune impor­tance si quelqu’un peut devi­ner quel mot de passe vous utili­sez après juste quelques essais.

Jean réuti­lise son mot de passe

Je connais l’email de Jean ? Il me suffit de regar­der quels mots de passe il a utilisé sur d’autres sites, et de les tester un à un.

La plupart des sites ont un problème de sécu­rité un jour ou l’autre. Souvent les données extraites se retrouvent publiques d’une façon ou d’une autre. Parfois on y trouve des mots de passe en clair ou mal proté­gés. Il suffit de piocher dedans.

Testez Have I Been Pwned, vous verrez que des tiers peuvent déjà connaitre plusieurs de vos mots de passe.

Paul n’a aucune imagi­na­tion

Je ne connais pas l’email de Paul ? Qu’im­porte. Je peux déjà tester les mots de passe les plus courants, et les varia­tions de ceux-ci.

Ne vous croyez pas origi­nal. Même ajou­ter une date, un chiffre, un symbole, chan­ger une lettre, inver­ser le mot de passe, quelqu’un l’a déjà fait. En quelques milliers de combi­nai­sons j’ai déjà énor­mé­ment de mots de passe habi­tuels.

Même les méthodes « choi­sir x mots du diction­naire » sont vulné­rables si c’est l’uti­li­sa­teur qui choi­sit ses mots dans sa tête. Le plus souvent on tombera dans quelques centaines de mots, toujours les mêmes.

Par le passé j’ai utilisé un person­nage de litté­ra­ture, auquel j’ai ajouté un chiffre et un symbole. Croyez-le ou non, on trouve plus d’une dizaine d’oc­cur­rences sur Have I Been Pwned.

Have I Been Pwned

J’ai cité Have I Been Pwned. Ils mettent à dispo­si­tion une base de tous les mots de passe qui ont publique­ment fuité.

Si vous lais­sez des tiers saisir des mots de passe sur votre service, vous devriez télé­char­ger leur base, puis cher­cher dedans à chaque fois qu’un de vos utili­sa­teur saisit un nouveau mot de passe. Le mot de passe est déjà dedans ?

Alors il y a un risque de sécu­rité et vous devriez en aler­ter l’uti­li­sa­teur.

Si vous voulez aller plus loin, tentez quelques varia­tions simples : Si le mot de passe se termine par un nombre, essayez les deux ou trois nombres précé­dents. Si le mot de passe à des symboles ou chiffres en début ou fin, reti­re­rez-les et testez le mot de passe résul­tant.

Tout ça ne vous coûte quasi­ment rien si ce n’est un peu de stockage et le télé­char­ge­ment de la nouvelle base Have I Been Pwned de temps en temps, mais ça va éviter bien des risques à vos utili­sa­teurs.

Rejoindre la conversation

5 commentaires

  1. Tester les mots de passe présents dans « Have I Been Pwned » : pertinent, à condition d’être explicite dans le message d’erreur, sinon Paul et Jean ne vont pas comprendre pourquoi `MarsE1lle2019!` ne passe pas.

    Du coup, ça implique de faire de la pédagogie, parce qu’il faut expliquer le mot de passe est long et complexe en soi MAIS qu’il fait partie d’un dictionnaire DONC qu’il est vulnérable à une attaque de ce type…

    J’ai ma petite idée sur la frustration et le taux d’abandon engendré…

    Et si l’avenir pour les sites, c’était plutôt le no-password (utilisation directe de l’email comme authentification, avec envoi d’un lien de connexion unique) ?

    1. Il y a effectivement tout un enjeu d’UX, mais je ne suis vraiment pas le plus pertinent pour y proposer des solutions.

    2. L’e-mail ? Ce système qui envoie des données en texte brut sur le réseau ? Pour de la sécurité ?…
      C’est du même niveau que les mots de passes de sécurité de Google avec les numéros d’authentification par sms (G-394820). C’est pas sécurisé, parce qu’envoyé en clair.
      Je ne suis pas expert en sécurité, mais je pense qu’une solution serait à chercher du côté des technologies de chiffrement (type clé U2F)

      1. La question est de « contre qui se bat-on ? ». Si effectivement tu te bas contre des gros hébergeurs (AWS, G Cloud, Azure, OVH) ou contre les fournisseurs des emails de tes clients (Gmail, Outlook, Yahoo, Orange, Free, SFR) *et* que tu les crois capables d’aller faire de l’inspection réseau et des manipulations malicieuses pour récupérer le lien d’authentification, alors effectivement c’est un problème.

        Maintenant si c’est le cas, tu l’as dans l’os de toutes façons parce que la plupart des services utilisent l’email comme confirmation pour faire une récupération de mot de passe. L’email est *déjà* un point qui permet de t’authentifier. Il suffirait à l’attaquant de demander une réinitialisation de ton mot de passe et d’attendre l’email.

        Si tu veux faire mieux il faut interdire la récupération des mots de passe par email et passer par un processus manuel complexe. C’est ce que font certaines boites pour les gens qui activent une 2FA forte, mais on parle là d’enjeux qui dépassent le compte Instagram de monsieur tout le monde.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

À propos de ce site, du contenu, de l'auteur
Je poste parfois ici des humeurs ou des pensées. Parfois je change, parfois je me trompe, parfois j'apprends, et souvent le contexte lui-même évolue avec le temps. Les contenus ne sont représentatifs que de l'instant où ils ont été écrits. J'efface peu les contenus de ce site, merci de prendre du recul quand les textes sont anciens. Merci

À toutes fins utiles, ce site est hébergé par Scaleway, ONLINE SAS, joignable par téléphone au +33 (0)1 84 13 00 00 et joignable par courrier à l'adresse BP 438 - 75366 Paris Cedex 08.