Mots de Passe*

1

*Quelques acétates sont adaptées de la présentation de Nicolas Pioch [1] citée dans la section références

Un grand merci à Yosr Jarraya (http://users.encs.concordia.ca/~y_jarray/) qui a développé une grande

partie de cette présentation!

Chamseddine Talhi

École de technologie supérieure (ÉTS)

Dép. Génie logiciel et des TI

Pourquoi utiliser des mots de passe ??

• Question de coût :

– les mots de passe sont gratuits

• C’est nous qui les choisissons et non pas le contraire

• A cause de leur caractère pratique :

– un administrateur système peut réinitialiser un mot de

passe plus facilement que d’attribuer un nouveau

doigt à un utilisateur…

Mot de passe

2

Mot de passe

3

Source: http://www.kweeper.com/calvin/image/243431

Mot de passe

4

• Rapport Verizon 2012 sur les brèches de données dans

les petites organisations

Source: http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

Problématique des mots de passe

Selon C. Kaufman, R. Perlman, M. Speciner:

Network Security: Private Communication in a Public World, 2nd Edition. C.

Kaufman, R. Perlman, and M. Speciner. Prentice-Hall

« Les humains sont incapables de stocker de façon sécurisée des clés

cryptographiques de haute qualité; leur vitesse et leur précision lors de

l’exécution d’opérations cryptographiques sont inacceptables. (Ils sont

aussi volumineux et chers à l’entretien, difficiles à gérer, et ils

polluent l’environnement. Il est étonnant que de tels systèmes

continuent à être fabriqués et déployés.) Mais leur omniprésence nous

oblige à concevoir nos protocoles pour contourner leurs limitations. »

Mot de passe

5

Comparaison clés vs. mots de passe

• Clés cryptographiques, par exemple 64 bits

– Il y a 264 clés différentes possibles

– La clé peut être choisie aléatoirement : un attaquant doit alors tenter

263 clés en moyenne

• Mots de passe, par exemple de 8 caractères

– Chaque caractère a en théorie 8 bits soit 256 valeurs possibles

différentes : il y a donc en théorie 2568 = 264 mots de passe

possibles

– Mais les utilisateurs ne choisissent pas leur mot de passe

aléatoirement : un attaquant a nettement moins de 263 mots de

passe à tester (attaques par dictionnaire)

Mot de passe

6

Choix de mots de passe

Étude sur les mots de passes choisis par 218 étudiants en 1ère année de

psychologie :

• 45% utilisent leur propre nom pour au moins l’un de leurs mots

de passe

• 2/3 des mots de passe sont conçus à partir d’une caractéristique

personnelle, la plupart du reste l’étant à partir de celles de

proches

• Noms propres et dates d’anniversaire sont les principales

informations utilisées pour construire 50% des mots de passe

Mot de passe

7

Choix de mots de passe

• Quasiment tous les sondés réutilisent des mots de passe, et 2/3

des mots de passe sont des doublons (e.g., HelloHello)

• 1/3 des sondés ont déjà oublié un mot de passe, et plus de la

moitié les conservent par écrit

Source: Alan S. Brown, Elisabeth Bracken, Sandy Zoccoli, King Douglas

(2004). Generating and remembering passwords. Applied Cognitive

Psychology, 18, 641-651.

Mot de passe

8

Étude sur 10,000 comptes de Windows

Live capturés en 2009

• La liste contenait initialement 10 028 entrées.

• Après suppression des entrées sans mot de passe, il restait 9843

entrées valides (mots de passe).

• Il y a 8.931 (90%) des mots de passe uniques dans la liste.

• Le plus long mot de passe est de 30 caractères:

lafaroleratropezoooooooooooooo.

• Le plus court des mot de passe est de longueur seulement 1

caractère :)

Mot de passe

9

Source: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/#

Étude sur 10,000 comptes de Windows

Live capturés en 2009

La plupart des mots de passes sont de longueur

de 6 à 9 caractères. En moyenne 8 caractères.

42 %; utilisent seulement les lettres minuscules

: de ‘a’ jusqu’à ‘z’.

3 %; utilisent un mélange de lettres minuscules et

majuscules.

19 %; des mots de passe numériques

30 %; mélange de lettres et de chiffres

6 %; mélange de lettres et de chiffres et autres

caractères.

Mot de passe

10

Source: http://www.acunetix.com/blog/news/statistics-from-10000-leaked-hotmail-passwords/#

TOP 10 – Mot de passe vs. frequence

123456 64

123456789 18

alejandra 11

111111 10

alberto 9

tequiero 9

alejandro 9

12345678 9

1234567 8

estrella 7

Mot de passe

11source:

http://idilix.net/fr/gestion-mot-de-passe-sur-inoubliable

http://xkcd.com/936/

Mot de passe

12

Top 251. Password

2. 123456

3. 12345678

4. qwerty

5. abc123

6. monkey

7. 1234567

8. Letmein

9. trustno1

10. dragon

11.Baseball

12.111111

13. iloveyou

14. master

15. sunshine

16. ashley

17. bailey

18. passw0rd

19. shadow

20. 123123

21. 654321

22. superman

23. qazwsx

24.michael

25. football

Source: http://splashdata.com/splashid/worst-passwords/

SplashData Inc. a révélé son top 25 des pires

mots de passe de l’année 2011,

avec 'Password' (Oui, c’est ca) et '123456' en

tête de liste

Password est encore dans le top

des tops en 2012!!!

Mot de passe

13source: http://didoune.fr/blog/tag/mot-de-passe/

http://howsecureismypassword.net/

Qualité des mots de passe

Mot de passe

14

Mots de passe Pour le craquer il faut Un PC

P4s$W0Rd En 3 jours

W$W2012W%z En 58 années

MGR850$%CoursA12 En 12 trillion d’années

$MgR850$X-A12_etS En 931 trillion years

Qualité des mots de passe

Mot de passe

15

Source: http://www.ghacks.net/2012/04/07/how-secure-is-your-password/

Mot de passe

16

• Loi de Moore (Intel)

‒ Théoriquement, le nombre de transistors qui

peuvent être montés dans un circuit intégré double

approximativement tous les deux ans.

‒ Facteurs accélérant la faiblesse des mots de

passe:

Popularité des quad core (et nombre de cœurs encore

plus élevé) processeurs.

Les nouvelles méthodes de programmation qui

permettent à n'importe quel PC d’utiliser le GPU sur

certaines cartes graphiques

Mot de passe

17

• Il a été prouvé possible de cracker des mots de passes

a l’aide de carte graphique (GPGPU computing ) Exemple avec une carte graphique Radeon 5770 et d’outil de

brute-force et le NTLM hash des mots de passe

Le mot de passe “fjR8n” peut etre craquer

‒ Avec un CPU: 24 seconds, à un taux de 9.8 million d’essaies

de mot de passe par seconde.

‒ Avec le GPU, moins d’1 seconde à un taux de 3.3 billion

d’essaies de mot de passe par seconde.

Un mot de passe de 6 caractères (pYDbL6),

‒ Un CPU : 1 heure 30 minutes

‒ GPU: seulement 4 secondes

Un mot de passe de 7 caractères (fh0GH5h),

‒ CPU : 4 jours,

‒ GPU: 17 minutes 30 seconds

Source: http://mytechencounters.wordpress.com/2011/04/03/gpu-password-cracking-crack-a-windows-password-using-a-graphic-card/

Politique de gestion des mots de passe

Un message d’erreur peut s’afficher sur Windows 2000 configuré pour

s’authentifier sur un domaine MIT Kerberos

Bug corrigé seulement Windows 2000 SP3

Mot de passe

19Microsoft Knowledge Base article Q276304 source:

http://support.microsoft.com/default.aspx?scid=kb;en-us;276304

“Error Message:

Your password must be at least 18770 characters and cannot

repeat any of your previous 30689 passwords.

Please type a different password.

Type a password that meets these requirements in both text boxes.”

Attaques sur les mots de passe

Un attaquant peut :

• Cibler un compte particulier

• Cibler n’importe quel compte sur le système

• Cibler n’importe quel compte sur n’importe quel système

• Un seul mot de passe vulnérable peut suffire!

Chemin d’attaque usuel :

• Extérieur -> compte utilisateur -> compte administrateur

Mot de passe

20

Échecs répétés d’authentification

Supposons que le système verrouille un compte utilisateur après 3

échecs d’authentification (mot de passe invalide).

Combien de temps doit durer ce verrouillage ?

• 15 secondes

• 15 minutes

• Jusqu’à ce que l’administrateur déverrouille manuellement le

compte utilisateur ?

Avantages et inconvénients de chaque approche ?

Mot de passe

21

Piratage de Twitter, 5 janvier 2009http://www.wired.com/threatlevel/2009/01/professed-twitt/

• Un américain de 18 ans a piraté twitter par force brute

• Cause : Twitter autorisait un nombre illimité d’échecs

d’authentification consécutifs

• Le mot de passe du compte administrateur ‘Crystal’ a été facile a

deviner ‘happiness’… !

• Il a ensuite réinitialisé les mots de passe des comptes ‘officiels’ de

Barack Obama, Britney Spears et Fox News… et a commencé à

diffuser de faux messages…

Mot de passe

22

Stockage des mots de passe

• Ce n’est pas une bonne idée de stocker les mots de passe de tous

les utilisateurs tels quels au risque que le fichier tombe entre les

mains de mauvaises personnes …

• Comment valider le mot de passe présenté par un utilisateur ?

• Solution cryptographique :

– stocker la valeur de hachage du mot de passe de chaque utilisateur : h(MdP)

Mot de passe

23

Stockage des mots de passe

• Quand un utilisateur s’authentifie, on calcule la valeur de hachage du

mot de passe fourni et on la compare à la valeur stockée h(MdP)

• Si un pirate capture le fichier de mots de passe, il n’obtient que les

valeurs hachées

• Il lui faut alors trouver un mot de passe m’ tel que h(m’) soit égal à

la valeur stockée dans le fichier : une attaque par dictionnaire est

toujours possible.

Mot de passe

24

Une attaque par dictionnaire plus rapide…

• L’attaquant peut accélérer considérablement la vitesse d’une attaque

par dictionnaire en pré-calculant une table (Rainbow table) contenant

les valeurs de hachage de tous les mots du dictionnaire.

– Taille de NTHASH tables ~ 8.5 GB

• Ce calcul n’est à faire qu’une seule fois : la table ainsi constituée peut

être réutilisée pour chaque nouvelle attaque

• Ainsi, lorsqu’il obtient un fichier contenant les valeurs de hachage, il

lui suffit de les rechercher dans sa table pour trouver un mot de passe

acceptable

Mot de passe

25

• L'ajout d'un sel (salt) consiste à concaténer une chaîne aléatoire au mot de passe avant de l'envoyer dans la fonction de hachage

• Le sel est stocké avec le mot de passe dans la base de données

• Résout le problème des rainbow tables populaires• Augmente la complexité de l'attaque dictionnaire

define('SALT', '377fba9d324d42e92dd21a003ec414a9');

function computeHash($plainText) {return sha1(SALT . $plainText);

}

26

Hachage + sel naïf

• Sel (salt) global: permet toujours le pré-calcul de rainbowtables:• Permet d'attaquer la base de données en entier avec une attaque

de dictionnaire ou exhaustive

• Mot de passes identiques vont toujours être évidents à l'œil

• CWE-760: Use of a One-Way Hash with a Predictable Salt

27

Sel naïf - Problèmes

• Ajouter un sel (salt) different pour chaque mot de passe au lieu de globalement.

• On stocke le sel directement dans le champ password.

• Les attaquants doivent maintenant tenter de craquer chaqueentrée de la table de mot de passe séparément

C'est une très bonne solution! Améliorations possibles?

define('SALT_LENGTH', 9);

function generateHash($plainText, $salt = null) {if ($salt == null) {

$salt = substr(md5(uniqid(rand(), true)), 0, SALT_LENGTH);} else {

$salt = substr($salt, 0, SALT_LENGTH);}return $salt . sha1($salt . $plainText);

}

28

Sel naïf - Solution

• Problème: Les fonctions de hachage ont été conçues pour être performantes pourtant la vitesse est votre ennemi ici car rapide veut dire qu'un attaquant peut rapidement faire son attaque exhaustive (rainbow table rapidement calculer)

• Solutiono En plus du sel par mot de passe,o On fait 1000 itérations de l'empreinte dans une boucleo ou encore, on concatène 1000 fois le mot de passe et le

sel avant de faire l'empreinte• Ici on ralentit l'attaquant de 1000 fois mais on peut se

permettre se genre de ressources pour authentifier un usager

Presque parfait, que manque-t-il?29

Key stretching

• La réutilisation de mots de passe est un fait confirmé. Afin de défendre ses utilisateurs, il faut appliquer une méthode de hachage appropriée

• Si vous faites "j'ai oublié mon mot de passe" et que vous recevez votre mot de passe en clair, pensez-y bien!

30

Conclusion

Contre-mesure

• Stocker les mots de passe des utilisateurs hachés avec un ‘sel’

aléatoire s, différent pour chaque utilisateur : h(s || MdP)

• Pour chaque utilisateur, on stocke (s, h(s || MdP)) : s n’est pas secret,

cela ressemble à un vecteur d’initialisation (IV)

• On peut valider facilement le mot de passe fourni par un utilisateur

pour s’authentifier

• Un attaquant sera obligé de recalculer un dictionnaire de valeurs de

hachage complet pour chaque utilisateur

Mot de passe

31

1. Nicolas Pioch, Authetification, 19 mai 2009,

http://maubkn.imingo.net/phpdown/rubrique.php?id_rubrique=61

2. How a cheap graphics card could crack your password in under a

second. PC Pro blog

http://www.pcpro.co.uk/blogs/2011/06/01/how-a-cheap-graphics-

card-could-crack-your-password-in-under-a-

second/#ixzz2BJgguqDM

3. http://howsecureismypassword.net/

32

Références

Références

4. Password Reuse Is All Too Common, Research Shows, http://www.pcworld.com/businesscenter/article/219303/password_reuse_is_all_too_common_research_shows.html

5. CWE-257: Storing Passwords in a Recoverable Format, http://cwe.mitre.org/data/definitions/257.html

6. Password lists, http://www.skullsecurity.org/wiki/index.php/Passwords

7. Rainbow Tables, http://en.wikipedia.org/wiki/Rainbow_table8. Free Rainbow

Tables, http://www.freerainbowtables.com/en/tables2/9. IGHASHGPU, attaques exhaustives par GPU,

http://www.golubev.com/hashgpu.htm

33

Références

CWE-522: Insufficiently Protected Credentials, http://cwe.mitre.org/data/definitions/522.htmlCWE-759: Use of a One-Way Hash without a Salt, http://cwe.mitre.org/data/definitions/759.htmlCWE-760: Use of a One-Way Hash with a Predictable Salt, http://cwe.mitre.org/data/definitions/760.htmlCAPEC-49: Password Brute Forcing, http://capec.mitre.org/data/definitions/49.htmlThe Importance of Being Canonical, Robert David Graham, http://erratasec.blogspot.com/2009/02/importance-of-being-canonical.htmlEnough With The Rainbow Tables: What You Need To Know About Secure Password Schemes, Thomas Ptacek, http://chargen.matasano.com/chargen/2007/9/7/enough-with-the-rainbow-tables-what-you-need-to-know-about-s.htmlPHP Security Consortium: Password Hashing, http://phpsec.org/articles/2005/password-hashing.htmlPortable PHP password hashing framework, Openwall, http://www.openwall.com/phpass/Passwords lists and dictionaries, http://www.skullsecurity.org/wiki/index.php/PasswordsStronger Key Derivation via Sequential Memory-Hard Functions, Colin Percival, http://www.tarsnap.com/scrypt/scrypt.pdf

34