Hasło

Hasło to słowo lub szereg znaków używanych jako środek uwierzytelniania dowieść swojej tożsamości, gdy chce się uzyskać dostęp do bezpiecznego miejsca, a konto komputera , a komputerowy , oprogramowanie lub usługi, których dostęp jest ograniczony i chroniony.

Hasło musi być utrzymywane w tajemnicy, aby uniemożliwić nieupoważnionej osobie trzeciej dostęp do zasobu lub usługi. Jest to między innymi jedna z metod weryfikacji, czy dana osoba odpowiada deklarowanej tożsamości. Jest to dowód, że posiadamy i komunikujemy się z usługą odpowiedzialną za autoryzację dostępu.

W opowieści Ali Baba i czterdziestu złodziei z tysiąca i jednej nocy pojawia się jedno z najsłynniejszych haseł: „Otwórz sezam! "

Historyczny

Pochodzenie

Termin „hasło” ma pochodzenie wojskowe. „Słowa polecenia” obejmują „słowo wezwania” (tj. uzgodnione pytanie) i „hasło” (tj. odpowiednią odpowiedź). Są to znaki słowne, które pozwalają rozpoznać się dwóm jednostkom lub dwóm żołnierzom, np. podczas nocnego patrolu, w delikatnym momencie powrotu do przyjaznego urządzenia. W takim przypadku hasło jest zatem udostępniane grupie zaufanych osób. Jeśli chodzi o kod osobisty, lepiej jest użyć wyrażenia „kod poufny”, aby podkreślić tajemnicę kodu i uczynić odpowiedzialnym jego posiadacza.

W Internecie

Poprzez nadużywanie języka utożsamiamy „słabe” uwierzytelnianie z uwierzytelnianiem za pomocą nazwy użytkownika i hasła, ponieważ historycznie, w Internecie, nazwy użytkowników i hasła były przesyłane do serwerów w postaci jawnej (niezaszyfrowanej) . Brak szyfrowania wynikał z faktu, że protokoły komunikacyjne ( HTTP , FTP itp.) oraz Internet jako całość nie zostały zaprojektowane z myślą o bezpieczeństwie. Ponadto moc wymagana do szyfrowania danych może być w tym czasie zaporowa.

W 2009 roku aktywacja protokołu SSL/TLS ( w przeglądarkach internetowych symbolizowanego generalnie kłódką ) umożliwiła szyfrowanie komunikacji, a w szczególności nazwy użytkownika i hasła. Przechwytywanie komunikacji (zawierającej nazwę użytkownika i hasło) jest zawsze możliwe. Ale ta komunikacja jest teoretycznie niezrozumiała dla osoby trzeciej.

SSL umożliwia uwierzytelnianie serwera i klienta . Ale generalnie tylko serwer uwierzytelnia się za pomocą klucza publicznego i certyfikatu. Użytkownik identyfikuje się za pomocą swojej nazwy użytkownika i hasła, ale zazwyczaj nie przedstawia certyfikatu serwerowi. Dlatego zawsze mówimy o słabym uwierzytelnianiu.

Silniejsze uwierzytelnianie oznaczałoby wdrożenie bardziej rozbudowanych mechanizmów po stronie klienta: użycie klucza zamiast hasła oraz certyfikatu jego klucza publicznego. SSL nie wzmacnia zatem uwierzytelniania klienta, ale zapewnia poufność wymiany za pomocą szyfrowania.

Hasło również odgrywa tutaj rolę: klucz, który posiada klient, jest zwykle przechowywany w postaci zaszyfrowanej, na określonym nośniku fizycznym. Hasło jest następnie używane do szyfrowania/odszyfrowywania klucza. Zapewnia to jego ochronę, ponieważ złamanie klucza oznacza złamanie jakiejkolwiek komunikacji zaszyfrowanej przy użyciu tego klucza. Dlatego szyfrujemy sam klucz, aby go zachować.

Zasada i ograniczenia

We Francji i Szwajcarii istnieje prawny limit bezpieczeństwa hasła: jeśli zaszyfrowane dane zostaną przejęte przez sądy, ustawa o codziennym bezpieczeństwie wymaga od użytkownika podania metody szyfrowania i kluczy lub słów.

Używanie haseł to kompromis między bezpieczeństwem a wygodą. Wraz z rosnącą liczbą sytuacji, w których konieczne jest posiadanie hasła, każdy z nas ma coraz więcej haseł. Chociaż używanie tego samego hasła jest uzasadnione we wszystkich sytuacjach, w których nie jest to bardzo ważne, nadal istnieje wiele przypadków, w których należy użyć dobrego hasła . To hasło nie może być wszędzie takie samo, z jednej strony, aby zapobiec jego złamaniu prowadzącemu do niefortunnych sytuacji, z drugiej strony, ponieważ niektóre witryny i oprogramowanie wymagają regularnej zmiany hasła i ograniczenia ich ponownego użycia. Ponieważ pamięć użytkownika jest wtedy niewystarczająca do zapamiętania wszystkich tych haseł, istnieje wielka pokusa, aby je wymienić. Istotne jest, aby tak utworzona lista haseł była jeszcze lepiej chroniona. Jest to następnie określane jako „bezpieczne hasło”.

Przechwytywanie „zwykłego” hasła

Hasło jest „jasne”, jeśli nie zostało przekształcone za pomocą funkcji skrótu . Istnieje kilka sytuacji, w których hasło można znaleźć w postaci jasnej:

Niektóre programy umożliwiają uwidocznienie haseł formularzy. Znaki są „ukryte” w kółkach lub gwiazdkach, które mają uniemożliwić komuś za Tobą czytanie tego, co piszesz. W programie w tej chwili hasło jest obecne i nadal nie jest zaszyfrowane, dzięki czemu widoczne jest po prostu zmiana opcji wyświetlania.

Przechwytywanie zaszyfrowanego hasła

W przypadku przechwycenia zaszyfrowanego hasła nie można go bezpośrednio użyć: złośliwa osoba (atakujący) musi odkryć odpowiednie hasło, odszyfrowując je, jeśli to możliwe, lub za pomocą innych technik. Mówi się, że atakujący złamał lub „złamał” hasło. Istnieją dwa główne przypadki: hasło jest częścią komunikacji lub przechwytywane jest tylko zaszyfrowane hasło.

Cała komunikacja jest szyfrowana

W takim przypadku musisz znaleźć sposób na rozszyfrowanie całej komunikacji, aby znaleźć hasło. Musimy zatem znaleźć błąd w algorytmie szyfrowania lub w jednej z jego implementacji. Jeśli szyfrowanie zostanie złamane, bez względu na rozmiar hasła zostanie ono znalezione w odszyfrowanym tekście.

Przechwytywane jest tylko zaszyfrowane hasło

Zwykle jest to skrót (lub skrót ) przechwyconego hasła, czyli wynik działania nieodwracalnego algorytmu. To dobra praktyka, stosowana w wielu przypadkach: strony internetowe, konta użytkowników systemu operacyjnego itp. Jeśli ten algorytm nie jest tak naprawdę nieodwracalny (z powodu błędów projektowych lub implementacyjnych), możliwe jest znalezienie jasnego odpowiadającego hashowi. Na przykład zarządzanie hasłami w celu ochrony plików Office 97 Excel i Word ma wady, które ułatwiają znalezienie używanych haseł.

Ale generalnie do rozbicia kondensatu używa się innych technik. Znając funkcję skrótu, możemy sobie wyobrazić różne ataki:

  • atak brute-force  : Wybieramy haseł kosmicznych w celu zbadania przez ustawienie długości oraz zestaw znaków; wymieniamy wszystkie możliwe hasła dla tej przestrzeni; dla każdego z tych haseł obliczamy odcisk palca za pomocą funkcji skrótu i ​​porównujemy ten odcisk palca z tym, który przechwyciliśmy. Aby zapobiec tym atakom, zaleca się używanie długiego i złożonego hasła. Przez hasło złożone rozumie się hasło składające się z różnych typów znaków: małych i wielkich liter, cyfr i znaków niealfanumerycznych (takich jak!: / # @ ...). Długość hasła zapewni, że nie zostanie ono wyliczone podczas ataku brute force: im większa przestrzeń do wyliczenia, tym dłużej trwa atak. Zobacz wykres obok (uwaga, skala jest logarytmiczna).
  • atak słownikowy  : taka sama jak za atak brute force, ale kiedy słowa są wybierane ze słownika. Użycie znaków innych niż litery i cyfry zazwyczaj zapewnia, że ​​hasło nie należy do słownika, a zatem nie jest podatne na atak słownikowy.
  • bardziej złożone ataki, wynikające z kryptoanalizy , jak np. użycie tęczowych tablic . Używanie złożonego hasła niekoniecznie chroni przed tego typu atakiem. Przygotowanie do takiego ataku jest długie i wymaga dużej ilości pamięci, ale w dzisiejszych czasach jest dalekie od niedostępności.

Wybór hasła

Kryteria odporności

Jakość i długość hasła to kluczowe elementy bezpieczeństwa. Hasło, które jest zbyt krótkie lub pochodzi ze słownika, można zaatakować , przeszukując tabelę zawierającą listę haseł. Bardziej systematycznie, atak brute force próbuje wszystkich możliwości i przy odpowiednim czasie teoretycznie możliwe jest odzyskanie hasła. Kompromisem jest tęczowy stół , ulepszenie zasady kompromisu pamięci czasu .

Siła hasła zależy od kilku kryteriów:

  • Jego długość, która jest najważniejszym kryterium. Wskazane jest używanie haseł o wystarczającej długości, aby były one chronione przed atakami typu brute force (długość ta rośnie z czasem wraz z siłą narzędzi wykorzystywanych przez atakujących - w przypadku hasła do użytku lokalnego zalecamy w latach 2010 co najmniej dwanaście znaków, a nawet szesnaście znaków dla bardziej bezpiecznych haseł).
  • Należy unikać jego nieprostoty: 123456, www, 111111, Love, 0000, azerty…, a także dat urodzenia, imienia psa lub jakichkolwiek innych informacji związanych bezpośrednio z życiem prywatnym. Podobnie hasła i cytaty można łatwo zaatakować za pomocą ataku słownikowego. Ogólnie rzecz biorąc, treść hasła nie powinna być zgodna z logiką, lecz być prostym ciągiem losowo wybranych znaków.
  • Jego wyjątkowość: należy unikać ponownego wykorzystywania tego samego hasła do różnych usług, aby uniknąć kaskadowych uszkodzeń.
  • Zróżnicowanie użytych znaków: hasło jest silniejsze, gdy miesza się duże i małe litery, cyfry, znaki interpunkcyjne i znaki specjalne. Należy również zauważyć, że zawsze bezpieczniej jest próbować wydłużyć hasło niż próbować używać jak najwięcej różnych znaków.

Ponadto wybór hasła musi być dokonany zgodnie z krytycznością tego ostatniego (na przykład hasło umożliwiające dostęp do interfejsu administracyjnego aplikacji lub urządzenia będzie uważane za bardzo krytyczne).

W praktyce

Badanie 32 milionów haseł do witryny RockYou.com, uzyskane w 2009 r. po ataku na witrynę, wykazało, że 30% tych haseł składało się z sześciu znaków lub mniej, a najczęstszym (niecałym jednym na sto) jest „123456 ”.

Co roku dostawca rozwiązań bezpieczeństwa SplashData publikuje również listę najczęściej używanych haseł, które określa się mianem „najgorszych haseł, których nie należy używać” . Pięć haseł najczęściej używanych przez użytkowników na całym świecie w 2015 roku to:

  1. 123456
  2. hasło
  3. 12345678
  4. qwerty
  5. 12345

Hasło pod przymusem

Niektóre firmy monitorujące używają dwóch haseł: normalnego hasła i wymuszonego hasła. W przypadku wyzwolenia alarmu firma monitorująca dzwoni do klienta i prosi o podanie hasła w celu zapewnienia jego tożsamości, jeśli ten poda hasło pod przymusem, to agent monitorujący wie, że osoba, która tak mówi, jest zagrożona i rozpoczyna interwencję.

Koniec hasła

W 2021 r. Microsoft planuje usunąć hasło na rzecz odcisku palca (uważane za prostsze i bezpieczniejsze), ponieważ hasła zagrażają życiu firm, użytkowników, a także są źródłem stresu (zbyt trudne do uchwycenia, Nie pamiętam hasła).

Uwagi i referencje

  1. "  Jakie jest pochodzenie hasła?"  " ,23 marca 2015(dostęp 12 lipca 2015 r . ) .
  2. "  [Samouczek] Jak wybrać dobre hasło łatwe do zapamiętania  " , na mixmail.fr ,14 września 2014 r.(dostęp 4 października 2014 ) .
  3. "  Oblicz siłę "hasła  " , na ssi.gouv.fr ,26 grudnia 2016(dostęp 26 grudnia 2016 r . ) .
  4. „  Niemiecki haker mówi nam, jak utworzyć wzmocnione hasło  ” , na płycie głównej (dostęp 27 czerwca 2017 r. )
  5. "  Zabezpiecz swoje hasła  " , na google.fr ,26 grudnia 2016(dostęp 26 grudnia 2016 r . ) .
  6. Guillaume Belfiore, „  Studium: 20 najpopularniejszych haseł to….  ”, Clubic , 22 stycznia 2010 r.
  7. Najgorsze hasła 2015 roku , na stronie teamid.com. Dostęp 3 maja 2016 r.
  8. https://www.capital.fr/entreprises-marches/bientot-la-fin-des-mots-de-passe-1330858%3famp
  9. https://www.ledauphine.com/magazine-lifestyle/2020/12/28/la-fin-du-mot-de-passe-c-est-pour-2021
  10. https://www.clubic.com/amp/25362-microsoft-entend-supprimer-le-mot-de-passe-des-2021.html

Załączniki

Bibliografia

Powiązane artykuły