web-dev-qa-db-fra.com

Défense contre les attaques à l'aide de dictionnaires

Certaines formes d'attaques contre les mots de passe utilisent des dictionnaires. Il est plus sûr d'utiliser des mots de passe absurdes comme YunSUanLin, Artibichoke, etc., qui ne semblent appartenir à aucun dictionnaire?

13
Albert

Les attaquants n'utilisent souvent pas seulement des dictionnaires, mais aussi des règles qui permutent les mots dans les dictionnaires.

Par exemple, une règle pourrait être de remplacer certaines lettres par des chiffres, qui se ressemblent. Cela transformerait Password en P455w0rd.

Une règle, qui pourrait s'appliquer dans ce cas, serait de supprimer des lettres simples d'un mot. Cela signifie simplement permuter le mot de passe en supprimant une lettre ou en l'orthographiant délibérément vous donnera de meilleures chances, mais ce n'est pas garanti.

Pour répondre spécifiquement à votre question: Oui, il est plus sûr d'utiliser des mots non sensés que d'utiliser des mots dans un dictionnaire.

Cependant, ce n'est pas aussi sûr que possible. Un gestionnaire de mots de passe hors ligne peut générer des mots de passe vraiment aléatoires pour vous et les stockera de manière cryptée. Cela signifie que vous n'avez jamais à taper votre mot de passe, sauf le mot de passe principal pour déverrouiller le gestionnaire de mots de passe.

Pour le démontrer, demandez-vous quel mot de passe vous semble le plus sûr: YunSuanLin0 ou [D@,7##M]enMd*)j5fxG~KQ~?r\<DdV^?

47
MechMK1

Cela peut sembler être une question qui a une réponse évidente, mais qui n'est pas si banale.

Les mots qui n'apparaissent pas dans les dictionnaires sont plus aléatoires ("entropie") et sont donc plus difficiles à deviner pour les ordinateurs.

Mais ils sont également plus difficiles à retenir pour les humains . Et cela conduit à la réutilisation du mot de passe. C'est très mauvais.

Si vous n'utilisez pas de gestionnaire de mots de passe (et vous devriez!), Utiliser une phrase de mots de dictionnaire aléatoires est généralement plus sûr que des non-mots aléatoires. En savoir plus à ce sujet ici: Quel mot de passe dois-je utiliser? (qui a une explication visuelle très précise et facile à comprendre)

En savoir plus sur les gestionnaires de mots de passe ici .

17
Jenessa

"Plus sûr" est un terme relatif. Plus sûr que quoi, dans quelles conditions?

Dans des conditions purement théoriques, en supposant une attaque par force brute d'une certaine sorte, oui les mots absurdes sont "plus sûrs" dans le sens où il est très probable que l'attaquant tentera une attaque par dictionnaire avant une recherche exhaustive.

Dans des conditions réelles, les attaques par dictionnaire se produisent dans deux circonstances: a) forcer votre chemin dans un système et b) casser des mots de passe sur une base de données de hachage de mots de passe divulguée.

La solution pour a) est de ne pas utiliser de logiciels défectueux. Si votre logiciel ne bloque pas l'attaquant après 10 ou 100 ou un autre nombre de tentatives infructueuses, votre logiciel est défectueux.

Pour b), il est probable que l'attaquant s'arrête après avoir rompu les mots de passe simples habituels que de nombreux utilisateurs utiliseront. Il le laissera probablement fonctionner un peu plus, mais il serait inhabituel qu'il continue de fonctionner jusqu'à ce qu'il ait tous les mots de passe - il a probablement plusieurs autres bases de données divulguées avec des cibles faciles sur lesquelles son temps et ses ressources sont mieux dépensés.

Pour b), avoir un mot de passe qui n'est pas dans le dictionnaire et pas une simple permutation (les crackers connaissent les substitutions habituelles "remplacer O par zéro" et bien plus) améliore considérablement vos chances de ne pas être sur haveibeenpwned.com

1
Tom

En ce qui concerne les dictionnaires, ils contiennent une liste des mots de passe les plus couramment utilisés, qui peuvent également être des phrases et des mots absurdes. Par exemple, x + Word + 123 ou x + monkey sont quelques-uns des mots de passe les plus couramment utilisés avec qwerty qui n'ont pas vraiment de sens. Ainsi, vous pouvez utiliser des mots de passe absurdes, mais assurez-vous qu'ils sont imprévisibles et moins courants. Et si vous cherchez à renforcer vos mots de passe, vous pouvez combiner les 2 ou 3 premiers mots de plusieurs phrases. De plus, si vous pouvez ajouter des caractères spéciaux dans votre mot de passe, vous seriez beaucoup plus en sécurité.

0
Michael Haephrati

TL; DR: le moyen le plus sûr de générer un mot de passe est généralement d'utiliser un gestionnaire de mots de passe

Quelqu'un qui déchiffre des hachages ou des tentatives de connexion par bruteforce a plusieurs outils à sa disposition pour trouver les mots de passe possibles (ou hachages de mots de passe respectivement) en question. Les dictionnaires ou listes de mots ne sont que l'un d'entre eux. Il ne suffit donc pas de limiter vos techniques défensives contre les dictionnaires uniquement.

Comme d'autres l'ont déclaré, lorsqu'un attaquant utilise des outils tels que hashcat ou John the Ripper, des règles sont définies pour parfois "améliorer" les mots qui se trouvent dans les listes de mots. Ces règles peuvent être définies avec une relative facilité. Mais comment les attaquants connaissent-ils ces règles? Et d'où viennent ces dictionnaires?

La deuxième question peut être répondue facilement: comme l'infâme rockyou.txt beaucoup d'autres dictionnaires sont publiés après des violations de données de grandes (ou petites) entreprises.

Vous avez maintenant votre liste de mots. Où obtenez-vous votre ensemble de règles?

Revenons à ces dictionnaires. IIRC rockyou.txt contient environ 14 millions de mots de passe. Des millions de mots de passe utilisateur en un seul endroit qui vous donnent un ensemble de données géant quels mots de passe sont utilisés le plus souvent, quelles lettres les gens capitalisent et où ils mettent généralement des chiffres et des caractères spéciaux.

Les listes de mots ont un peu changé au fil des ans parce que nous avons appris aux gens à créer des mots de passe différents de "iloveyou", "password" ou "baseball". Mais le changement est lent, car a) beaucoup de personnes âgées et b) des personnes des pays émergents où la maîtrise des mots de passe n'est pas répandue ont accès aux services numériques.

L'essentiel est: les gens veulent taper facilement leurs mots de passe et ils veulent s'en souvenir facilement.

La saisie aisée est importante pour les chiffres et les caractères spéciaux. En théorie, il y a environ 200 caractères spéciaux que vous pouvez simplement taper avec des combinaisons ALT + Pavé numérique. Mais en réalité, la plupart des gens utilisent un ou deux de ces caractères (selon la disposition du clavier):! @ #} |) (US),! "§ * # = (DE).
Vous voyez probablement un schéma ici, car il en va de même pour les nombres: 1209 sont les plus couramment utilisés en afair.

Revenons donc à votre question.
Qu'essayez-vous exactement d'accomplir?
Vous ne voulez pas générer de mots de passe comme tous les autres utilisateurs. Vous ne souhaitez pas utiliser un mot d'un dictionnaire. Utilisez donc le gestionnaire de mots de passe, non? Mais vous ne pouvez pas toujours faire ça. Si vous vous connectez à votre système, vous n'avez pas encore accès à votre gestionnaire de mots de passe.

Parfois, vous avez pour vous souvenir d'un mot de passe, puis vous voulez avoir un mot de passe facilement mémorisable et également très fort. Ma suggestion: essayez quelque chose comme diceware , ou laissez un gestionnaire de mots de passe générer un mot de passe pour vous et mémorisez-le ensuite. Utilisez des mots étranges et conjuguez-les. Utilisez des caractères spéciaux qui sont un peu plus difficiles à taper que "!". N'utilisez pas seulement un caractère spécial ou un chiffre.

Si vous pensez à vous-même, que vous avez pensé à une règle intelligente, assurez-vous qu'il y a un million d'autres personnes qui font la même chose et que les attaquants connaissent également cette règle.

Plus important encore: 1. Utilisez des mots de passe vraiment longs. 2. N'utilisez pas de mots de passe construits comme ceux de tout le monde. Parce que ce sont les mots de passe avec des règles de construction que chaque attaquant connaît. Voilà comment se défendre contre une attaque par dictionnaire.

Ce que vous obtenez d'un mot de passe fort, c'est du temps. Temps utile pour changer votre mot de passe après la compromission d'un compte. La longueur de votre mot de passe et la façon dont vous créez les mots de passe vous procurent cette force et ce temps.

0
Tom K.