Information

Mot de passe

Mot de passe

Le mot de passe (parole française - mot) est un mot secret ou un ensemble de caractères destinés à confirmer l'identité ou l'autorité. Les mots de passe sont souvent utilisés pour protéger les informations contre tout accès non autorisé. La plupart des systèmes informatiques utilisent une combinaison nom d'utilisateur / mot de passe pour authentifier un utilisateur.

Les technologies de sécurité sont constamment améliorées, mais un aspect qui joue une fonction centrale reste inchangé: l'existence de mots de passe. Tout le monde sait depuis longtemps que les noms des proches, les noms d'animaux, la date de naissance, etc. sont généralement utilisés comme mots de passe.

Le principal problème est d'amener les utilisateurs à créer des mots de passe forts. Cependant, il n'est pas tout à fait clair comment y parvenir. En effet, même dans la liste de mots complètement aléatoires qu'une personne ordinaire propose, il existe un certain schéma, c'est-à-dire que ces actions peuvent être prédites. Par conséquent, la politique de choix de mots de passe forts nécessite une approche prudente, les administrateurs système doivent fournir une formation appropriée aux utilisateurs. Jetons un coup d'œil à certaines des principales idées fausses que les gens ont sur les mots de passe Windows.

Lors de l'utilisation de NTLMv2, les hachages de mot de passe sont assez forts. Beaucoup sont conscients de la faiblesse des hachages de mots de passe LanManager (LM), ce qui a conduit à la popularité de L0phtcrack en particulier. NTLM rend les hachages de mots de passe plus robustes car il utilise un hachage plus long et peut faire la distinction entre les majuscules et les minuscules. NTLMv2 est encore plus avancé, il utilise une clé de 128 bits et utilise des clés séparées pour la confidentialité et l'intégrité. Pour une plus grande intégrité, l'algorithme HMAC-MD5 est utilisé. Cependant, Windows 2000, comme auparavant, envoie souvent des hachages LM et NTLM sur le réseau, et NTLMv2 reste vulnérable aux attaques de relecture (en transit). Étant donné que le registre stocke également les hachages de mots de passe LM et NTLM, la vulnérabilité des attaques contre SAM demeure. Nous devrons attendre encore un peu avant de nous débarrasser des restrictions de LanManager, mais pour l'instant, nous devrions espérer la force des hachages de mots de passe.

Le meilleur mot de passe est Gfh% w3M @ x. Un mythe courant est que le meilleur mot de passe est celui généré par un générateur personnalisé. Cependant, ce n'est pas entièrement vrai. Le fait est que bien que ces mots de passe puissent être assez forts, ils sont extrêmement difficiles à retenir pour les utilisateurs, sont lents à entrer et sont également vulnérables aux attaques spéciales sur l'algorithme de génération de mots de passe. Les mots de passe résistants aux fissures sont faciles à créer, mais le problème se pose immédiatement avec leur mémorisation. Essayons de considérer quelques astuces simples. Par exemple, considérez le mot de passe [email protected] Cet e-mail est protégé contre les robots de spam. Pour le voir dans notre navigateur, vous devez activer le support java-script. Ce mot de passe utilise des lettres majuscules et minuscules, deux chiffres et deux caractères. La longueur d'un tel mot de passe peut atteindre 16 caractères, mais il n'est pas difficile de s'en souvenir. Et taper un tel mot de passe est assez facile. Vous pouvez choisir de tels mots afin que, lors de la saisie, les mouvements des doigts des mains droite et gauche alternent, cela donnera un ensemble de vitesse et réduira la probabilité que quelqu'un espionne le mot de passe en fonction des observations des mouvements des doigts. Il existe même des listes spéciales de mots anglais qui sont tapés en alternant les touches pour les mains droite et gauche. Par conséquent, l'utilisation de structures faciles à retenir est la meilleure technique pour créer des mots de passe complexes et faciles à retenir. Au cours de l'utilisation de telles structures, des signes de ponctuation peuvent être facilement introduits dans le mot de passe, par exemple dans une adresse e-mail, comme dans l'exemple ci-dessus. D'autres structures de ce type peuvent être des numéros de téléphone, des adresses, des fichiers de démarrage, des URL, etc. Vous devez faire attention à certains éléments qui facilitent la mémorisation. Il peut s'agir de l'utilisation de rimes, d'humour, de répétitions et de motifs, ainsi que de mots grossiers et même obscènes. En conséquence, un mot de passe apparaîtra sur la sortie, ce qui sera extrêmement difficile à oublier.

La longueur optimale du mot de passe est de 14 caractères. LM divise les hachages de mot de passe en deux hachages de sept caractères. En fait, cette approche rend les mots de passe plus vulnérables, car une attaque par force brute (ou attaque par force brute) peut être appliquée simultanément à chaque moitié du mot de passe. Le mot de passe à 9 caractères sera également divisé en deux parties - le hachage à 7 caractères et celui à deux caractères. Il est facile de deviner que craquer un hachage à deux caractères prendra un peu de temps, mais un hachage à sept caractères prendra plus de temps, mais il est également caractérisé par des heures. Souvent, une pièce courte peut faciliter beaucoup la cassure d'une longue pièce. C'est pour cette raison que de nombreux professionnels recommandent d'avoir un mot de passe d'une longueur optimale de 7 ou 14 caractères, qui correspondra déjà à deux hachages de 7 caractères. NTLM améliore cela en utilisant les 14 caractères pour stocker les hachages de mot de passe. Cela rend vraiment la vie plus facile, sauf que la boîte de dialogue NT limite le mot de passe à 14 caractères, ainsi le système "laisse entendre" que cette longueur du mot de passe sera optimale pour la sécurité. Dans les nouvelles versions de Windows, les choses sont différentes, sous Windows 2000 et XP, les mots de passe peuvent déjà contenir jusqu'à 127 caractères, il n'y a plus de limite à 14 caractères. De plus, la circonstance suivante a été découverte: si le mot de passe contient plus de 14 caractères, Windows n'enregistre même pas correctement les hachages LanMan. Une certaine constante est stockée sous forme de hachage LM, ce qui équivaut à un mot de passe nul. Puisque le mot de passe, bien sûr, n'est pas nul, il ne sera pas possible de déchiffrer ce hachage. Dans cet esprit, utiliser des mots de passe d'une longueur de 14 caractères ou plus serait une bonne solution. Cependant, il est impossible de l'implémenter en utilisant des modèles de sécurité ou une stratégie de groupe, car personne ne vous permettra de définir la longueur minimale du mot de passe à 15 caractères.

Un bon mot de passe est une combinaison comme M1chael99. Pour les exigences de complexité des mots de passe de Windows 2000, une telle combinaison est appropriée, bien qu'en fait elle ne soit pas difficile du tout. Aujourd'hui, les programmes de craquage de mots de passe essaient des millions de combinaisons par seconde, ils n'ont pas besoin de remplacer la lettre «i» par le chiffre «1» et inversement, ou d'ajouter quelques chiffres à la fin d'un mot. Certains programmes vérifient même ces ensembles de méthodes utilisées par les utilisateurs, devinant des mots de passe longs et apparemment forts. Par conséquent, vous devriez être plus imprévisible. Au lieu de remplacer "o" par "0", vous pouvez essayer d'utiliser deux parenthèses "()", au lieu de "1", vous pouvez essayer d'utiliser le caractère "l". N'oubliez pas que la stabilité augmentera certainement avec l'allongement du mot de passe.

Tôt ou tard, tout mot de passe peut être piraté. Tout d'abord, il convient de mentionner les méthodes qui vous permettent de connaître avec précision le mot de passe, par exemple en utilisant un simulateur de clavier ou en utilisant l'ingénierie sociale. Cependant, en les faisant abstraction, nous pouvons affirmer avec confiance qu'il existe des moyens de créer des mots de passe qui ne peuvent pas être piratés dans un délai raisonnable. Tout d'abord, si le mot de passe est long, le déchiffrer prendra beaucoup de temps ou de ressources informatiques, ce qui revient à utiliser un mot de passe incassable. Théoriquement, tout mot de passe peut être piraté, mais cela peut ne pas se produire de notre vivant et même pas chez nos petits-enfants. Ainsi, si le mot de passe est sélectionné par une agence non gouvernementale dotée de la puissance de calcul appropriée, il n'y a pratiquement aucune chance de trouver le mot de passe. Bien que la technologie informatique progresse à pas de géant, ce mythe pourrait un jour devenir une réalité.

Les mots de passe doivent être changés tous les mois. Ce conseil fonctionne bien pour certains mots de passe à faible sécurité, mais il ne fonctionne pas pour les utilisateurs réguliers. Après tout, une telle exigence oblige les utilisateurs à utiliser des mots de passe assez prévisibles chaque fois qu'ils changent ou à utiliser certaines méthodes qui réduisent l'efficacité de la sécurité. Et l'utilisateur n'aime pas constamment proposer de nouveaux mots de passe tous les 30 jours et s'en souvenir également. Au lieu de limiter l'âge du mot de passe, il est préférable de se concentrer sur la création de mots plus robustes, augmentant la compétence des utilisateurs. Pour un utilisateur moyen, 3-4 mois suffisent pour stocker un mot de passe. Une telle démarche, en donnant plus de temps aux gens, sera l'occasion de les convaincre d'utiliser des mots de passe plus complexes.

Il est strictement interdit d'écrire votre mot de passe n'importe où. Bien que beaucoup essaient de suivre ces conseils, vous devez parfois noter vos mots de passe. Dans ce cas, les utilisateurs se sentent plus à l'aise pour créer un mot de passe complexe, car ils seront sûrs que même s'ils l'oublient, ils pourront le lire dans un endroit sûr. Une attention particulière doit également être accordée à la façon d'écrire correctement les mots de passe. Bien sûr, il est insensé d'écrire le mot de passe sur un autocollant sur le moniteur, mais conserver un papier avec un mot de passe dans un coffre-fort ou au moins un tiroir verrouillé peut être une mesure suffisante. Ne négligez pas la sécurité lors de la mise au rebut du papier avec un ancien mot de passe; de ​​nombreux piratages se sont produits précisément parce que les pirates ont soigneusement analysé les déchets de l'organisation à la recherche d'anciens mots de passe enregistrés. Les utilisateurs ont souvent recours à l'idée de stocker leurs mots de passe dans des utilitaires logiciels spécialisés. Ces produits peuvent stocker plusieurs mots de passe protégés par un mot de passe principal principal. Cependant, sa perte est lourde du fait qu'un attaquant aura accès à la liste complète des mots de passe à la fois. Par conséquent, avant d'autoriser les utilisateurs à enregistrer des mots de passe à l'aide de ces outils, vous devez tenir compte des nuances suivantes. Premièrement, il s'agit d'une méthode logicielle, par conséquent, elle est vulnérable aux attaques, et deuxièmement, le mot de passe principal lui-même peut devenir la seule raison de l'échec de tous les mots de passe utilisateur à la fois. Souvent, le mot de passe principal est également rendu assez simple. Il est préférable de combiner sécurité physique, politique d'entreprise et technologie. Parfois, les mots de passe doivent simplement être documentés. Il arrive que l'administrateur système tombe malade ou quitte. Mais souvent, c'est la seule personne qui connaît les mots de passe d'administrateur pour l'accès, y compris aux serveurs. Il est même souvent nécessaire d'approuver l'écriture des mots de passe, bien sûr, cette étape doit être extrêmement réfléchie et utilisée dans les cas extrêmes.

Le mot de passe ne doit pas contenir d'espaces. Malgré le fait que ce n'est pas très populaire parmi les utilisateurs, Windows XP et Windows 2000 permettent d'utiliser des mots de passe et des espaces. En fait, s'il existe un tel caractère dans Windows, il peut également être utilisé dans le mot de passe. Ainsi, un espace est un caractère parfaitement acceptable pour un mot de passe. Cependant, certaines applications réduisent les espaces, il est donc préférable de ne pas utiliser d'espace au tout début et à la toute fin du mot de passe. En passant, en utilisant des espaces, les utilisateurs peuvent créer des mots de passe plus complexes. Comme ce symbole peut être utilisé entre les mots, vous pouvez trouver des mots de passe à partir de plusieurs mots avec. Une situation intéressante s'est développée avec l'espace en général, car il n'entre dans aucune des catégories de complexité des mots de passe sous Windows. Après tout, ce n'est ni une lettre, ni un chiffre, et en général, ce n'est pas considéré comme un symbole. Ainsi, si l'on souhaite rendre le mot de passe plus complexe, l'espace n'est pas pire que tout autre caractère, son utilisation dans la plupart des cas ne réduit pas la complexité du mot de passe. Cependant, on ne peut manquer de mentionner un inconvénient important qui survient lors de l'utilisation d'un espace. Lorsqu'elle est enfoncée, la touche crée un son unique qui ne peut guère être confondu avec quoi que ce soit. Par conséquent, l'utilisation d'un espace dans le mot de passe est produite par un son unique. Par conséquent, en général, vous pouvez utiliser des espaces, mais n'en abusez pas.

Vous devez utiliser la bibliothèque Passfilt.dll. Cette bibliothèque oblige les utilisateurs à créer des mots de passe forts. Dans Windows XP et 2000, cela se produit via une stratégie système qui définit les exigences de complexité pour cela. Bien que cette politique soit plutôt bonne, de nombreux utilisateurs sont contrariés lorsqu'il s'avère que leurs mots de passe ne fonctionnent pas parce qu'ils ne sont pas assez complexes. Il arrive que même les administrateurs expérimentés ne soient pas en mesure de saisir un mot de passe immédiatement tant qu'il ne satisfait pas aux exigences de difficulté. Sans surprise, les utilisateurs n'aimeront pas cette mesure, il est peu probable qu'ils prennent en charge la politique de sécurité des mots de passe. Dans une telle situation, la meilleure solution est d'exiger des mots de passe longs au lieu de cette politique. Si vous effectuez certains calculs, il s'avère qu'un mot de passe à 9 caractères, dans lequel les lettres sont en minuscules, a à peu près la même complexité qu'un mot de passe à 7 caractères, dans lequel des lettres majuscules et des chiffres sont utilisés. La seule différence est la façon dont les programmes de craquage de mots de passe gèrent les différents sous-ensembles. Certains de ces outils passent d'abord par toutes les combinaisons de lettres en minuscules, puis ne commencent à envisager des options utilisant des nombres et d'autres symboles. Vous pouvez également utiliser l'exemple de Platform SDK, en le modifiant pour être plus indulgent lorsqu'il s'agit de choisir un mot de passe. Une étape importante dans cette direction consistera à organiser le travail avec les utilisateurs, à leur apprendre à compliquer les mots de passe et à leur fournir les idées nécessaires.

Pour le mot de passe le plus stable, utilisez ALT + 255. Pour démystifier ce mythe, pensez à utiliser des caractères avec un gros code ASCII, cela devrait compliquer le mot de passe. Ils ne peuvent pas être saisis naturellement sur le clavier, cependant, en maintenant ALT et en tapant le code de caractère sur le clavier, vous pouvez le saisir. Parfois, cette méthode peut être utile, mais nous aborderons immédiatement ses inconvénients. Tout d'abord, maintenir la touche ALT enfoncée, puis saisir des nombres peut être facilement remarqué par les autres, et deuxièmement, la création d'un tel caractère nécessitera d'appuyer sur cinq touches à la fois. Il serait peut-être utile de simplement allonger le mot de passe de ce nombre de caractères plutôt que de le saisir à chaque fois en utilisant une combinaison complexe de essentiellement un caractère. Ainsi, un mot de passe de 5 caractères, entré à l'aide de gros codes ASCII, nécessitera 25 clics. Le nombre total de combinaisons pour cette longueur sera évidemment de 255 ^ 5, mais pour un mot de passe de 25 caractères créé uniquement à partir de lettres minuscules, le nombre de combinaisons est de 26 ^ 25, ce qui est incomparablement plus grand. Il est donc préférable d'utiliser des mots de passe longs. Il est également important de se rappeler que sur certains ordinateurs portables, les claviers ne vous permettent pas toujours de saisir un code à partir du pavé numérique et que tous les utilitaires de ligne de commande ne prennent pas en charge les mots de passe utilisant des codes ASCII. Par exemple, vous pouvez utiliser ALT + 0127 sous Windows, mais vous ne pourrez pas le saisir sur la ligne de commande. Et inversement, les codes de certains caractères peuvent être saisis dans la ligne de commande, mais ils ne peuvent pas être utilisés dans les boîtes de dialogue Windows (ALT + 0009, ALT + 0010, etc.). Dans de rares cas, de tels désaccords peuvent être assez inconfortables. Cependant, l'utilisation de codes de caractères étendus est souvent utile et justifiée. Par exemple, dans le cas de l'utilisation d'un compte de service ou d'un compte d'administrateur local, qui sont rarement utilisés, l'utilisation de caractères étendus mérite les frappes supplémentaires. Cette approche peut être une garantie suffisante contre le piratage, car peu de crackers de mots de passe sont configurés pour gérer des caractères étendus. Dans de tels cas, vous ne devriez pas vous contenter d'un code ASCII volumineux. Il s'avère que vous pouvez réellement utiliser l'ensemble complet d'Unicode, qui compte 65535 caractères.Cependant, gardez à l'esprit que ALT + 64113 ne sera toujours pas aussi stable qu'un nombre égal de frappes avec des caractères normaux. Enfin, prêtons attention à l'utilisation de l'espace insécable avec le code ALT + 0160. Ce caractère est affiché comme un espace normal et peut tromper quelqu'un qui a accidentellement vu votre mot de passe. Par exemple, lors de l'utilisation d'un enregistreur de clavier, un mot de passe insécable dans le fichier journal ressemblera à un espace normal. Si le pirate ne regarde pas le code ASCII valide et ne sait rien de l'espace insécable, alors le mot de passe résultant ne donnera rien.


Voir la vidéo: Mot de passe - 24 août 2012 (Décembre 2021).