Web-Infotek
Un souci, on est là !!!

(1092 mots dans ce texte )  -   lu : 709 Fois    

sommaire

1. Intro
2. Authentification
3. Les risques
4. Comment le créer
5. Stockage des mots de passe
6. Gestion des mots de passe
7. Mots de passe dynamiques
8. Authentification unique

INTRO

S'authentifier, c'est apporter la preuve de son identité. Elle intervient après une phase d'identification, qui consiste à établir l'identité annoncée par l'utilisateur. Cela s'appelle la phase d'identification-authentification ou I/A. Le mot de passe est généralement utilisé pour réaliser l'authentification d'une personne.

Le mot de passe doit :

• Etre choisi correctement. (longueur suffisante et absent des bases de données des pirates)
• Etre personnel car c'est une donnée qui ne peut pas être partagée.
• Etre changé régulièrement, surtout pour un usage professionnel..

Elle est indispensable à la mise en œuvre du contrôle d'accès, qui consiste à administrer et vérifier les droits de chaque utilisateur.
L'authentification intervient après une phase de déverrouillage, qui consiste à établir l'identité annoncée de l'utilisateur. Son mécanisme est donc directement réalisé par la personne, et ne varie donc pas d'une utilisation à une autre. Le déverrouillage est donc réalisé la plupart du temps par la saisie d'un mot de passe, pour accéder à un ordinateur, à son site web préféré, ...

LES RISQUES

Les risques principaux de l'utilisation d'un mot de passe sont :

• Sa divulgation
• Sa faiblesse

Il est donc préférable de choisir un mot de passe différent, pour différents sites où l'on est inscrit par exemple, et ne pas être sensible aux techniques de craquage connues. Ces techniques sont principalement faites soit à l'aide d'outils automatisés, soit par « ingénierie sociale », qui consiste à exploiter la confiance, l'ignorance, la crédulité de tierces personnes pour obtenir quelque chose d'eux. (Exemple, obtenir l'accès au système informatique de la personne pour collecter les mots de passe)

Sur un pc, pour craquer un mot de passe, il faut :

• Environ 1 heure s'il est composé de 8 caractères alphabétiques. (JEFCKTOP)
• Environ 1 mois s'il est composé de 10 caractères alphabétiques, ou 8 caractères alphanumériques. (K4-f-7L1)

Il est donc préférable, pour avoir un bon mot de passe, qu'il soit composé de majuscules, minuscules, chiffres et caractères spéciaux dans la mesure du possible. (4m_A5^J7bk)

COMMENT LE CREER

Il existe des moyens mnémotechniques pour construire et retenir des mots de passe fort.

• Méthode phonétique : on utilise les sons de chaque syllabe pour fabriquer une phrase facile à retenir.

Exemple : « hier après midi c'était l'achat de cd », ce qui donne « Iram7éL'ha2CD »

• Méthode des premières lettres : on utilise les premières lettres d'une phrase (citation, proverbe, chanson, ...), en veillant à ne pas utiliser que des minuscules.

Exemple : «Il faut tourner sa langue sept fois dans sa bouche avant de parler» donnera « iftsL7fdsBa2p » (ici, j'ai mis des majuscules seulement aux 2 noms pour me souvenir)

Un bon mot de passe est un mot de passe correctement formé :

1. Difficile à retrouver même avec des outils spécialisés
2. Facile à retenir

POUR ALLER PLUS LOIN

STOCKAGE DES MOTS DE PASSE

Ce sont les empreintes cryptographiques qui sont stockées dans un fichier de l'ordinateur (la valeur caractéristique du mot de passe et non le mot de passe). Elles sont calculées par une fonction de hachage cryptographique.

Les attaques sur les mots de passe consistent à calculer les empreintes (valeurs de sortie du hachage) et à les comparer à celles contenues dans le fichier du mot de passe. Pour faire cela, il y a :

• Les craquages par force brute :

Calcul de l'empreinte cryptographique de toutes les combinaisons possibles et comparaison à celles enregistrées dans le système

• Les craquages par dictionnaire :

Tester une série de mots issus d'un dictionnaire, style dictionnaire des prénoms, des chanteurs, ...

• Les craquages par compromis temps/mémoire :

Utiliser des dictionnaires pré-calculés contenant une liste de mots de passe avec leur empreinte associée

• Les attaques par ruse :

1. Attaques par ingénierie sociale
2. Attaques par hameçonnage (phishing)
3. Interception des communications
   
4. Capture des frappes du clavier (keylogger)
5. ...

GESTION DES MOTS DE PASSE

De nombreux logiciels proposent d'enregistrer les mots de passe avec la case à cocher « retenir le mot de passe ». Cela pose des problèmes de sécurité, car une personne malveillante peut récupérer le fichier contenant la liste des mots de passe. C'est en fonction du mécanisme de sécurité du logiciel que l'on coche ou non cette case.

Exemple avec Firefox : il est préférable, dans Outils/Options/Sécurité, de cocher la case Utiliser un mot de passe principal, ce qui cryptera le fichier des mots de passe.

Un mot de passe n'étant pas inviolable éternellement, il est nécessaire de le changer régulièrement.

MOTS DE PASSE DYNAMIQUES

Les mots de passe dynamiques ne sont utilisés qu'une seule fois. Même s'il est capturé, il ne pourra pas être réutilisé. Avec cette solution, l'utilisateur dispose d'un générateur de mots de passe, lui même verrouillé par un mot de passe statique.

Mais cette technique est quand même vulnérable aux attaques par interception.

AUTHENTIFICATION UNIQUE (SSO, ou Single Sign On)

Le nombre de systèmes, d'endroits, sur lesquels un utilisateur doit s'authentifier avec un mot de passe augmente sans cesse. Le SSO est un point d'entrée unique dans le but de rendre moins contraignante ses différentes connexions. Le serveur de connexion qui gère le SSO doit avoir une sécurité renforcée.

Exemple de suite logicielle permettant l'authentification unique : LemonLDAP qui propose les fonctions suivantes :

• Filtrage des URL en fonction de droit applicatif
  
• Transmission d'informations d'identité et de droit à l'application cible
  
• Passerelle HTTPS/HTTP HTTPS/HTTPS
  
• Fonction de cache