Progression de l’authentification : Comparaison des mots de passe, des phrases secrètes et des clés secrètes

Rejoignez Rudy Ramos chaque semaine pour un regard sur tout ce qui est intéressant, nouveau et remarquable pour les ingénieurs en conception.

Dans le film de 1932 des Frères Marx « Horse Feathers », Wagstaff (Groucho), le nouveau président du collège, visite un bar clandestin. Baravelli (Chico) révèle accidentellement que le mot de passe d’entrée est « Swordfish ». Cependant, après l’entrée de Wagstaff et la sortie de Baravelli, Wagstaff modifie le mot de passe, oubliant rapidement celui-ci. Cet incident entraîne leur exclusion à tous les deux. Cette comédie précoce illustre, bien qu’exagérée, les défauts de la nature humaine et du comportement en ce qui concerne les mots de passe.

Les mots de passe faibles ont été un problème récurrent pour la sécurité des données. Selon diverses études et rapports au fil des ans, les mots de passe faibles ou réutilisés sont souvent les principaux coupables de nombreuses violations de données. Cette semaine, nous examinons les différences entre les mots de passe, les phrases de passe et les clefs de passe, et comment le « length » est le facteur clé de la sécurité, que vous utilisiez des mots de passe ou des phrases de passe.

Le maillon faible

Le maillon faible pour sécuriser les actifs numériques est souvent considéré comme « l’élément humain ». Malgré des technologies avancées et des protocoles de sécurité sophistiqués, les comportements humains, les erreurs et les omissions peuvent introduire des vulnérabilités que des acteurs malveillants peuvent exploiter. Parmi les vulnérabilités liées à l’élément humain, les pratiques de mots de passe médiocres occupent une place de choix. Beaucoup de personnes continuent d’utiliser des mots de passe faibles ou de réutiliser des mots de passe sur plusieurs sites et services, ce qui facilite l’accès non autorisé aux attaquants.

Par exemple, en 2023, 64% des mots de passe contiennent uniquement entre huit et onze caractères. Près de 40% des utilisateurs admettent partager leurs mots de passe personnels avec d’autres personnes, et 61% des personnes touchées par un piratage de mot de passe avaient des mots de passe de moins de huit caractères.

De plus, selon le rapport sur les cybermenaces du deuxième trimestre 2023 (1er avril – 30 juin) de ReliaQuest, une forte augmentation de l’activité des rançongiciels a été constatée, marquant ainsi le trimestre avec le plus grand nombre de victimes répertoriées sur les sites de fuites de données des rançongiciels. Le groupe de rançongiciels ALPHV, affilié à « DarkSide » et « BlackMatter », pratique l’extorsion triple : rançongiciel, vol de données et attaques DDoS. ALPHV utilise les algorithmes de chiffrement AES et ChaCha20, ciblant des systèmes d’exploitation tels que Windows, ESXi, Debian, et d’autres. Ils s’infiltrent dans les systèmes via des vulnérabilités, des mots de passe compromis ou des courtiers d’accès initiaux (IABs), en utilisant des outils tels que WebBrowserPassView, Cobalt Strike et Mimikatz pour l’acquisition de mots de passe, l’accès initial et l’escalade de privilèges.

Enfin, le coût moyen mondial d’une violation de données en 2023 a atteint un nouveau record de 4,45 millions de dollars. De plus, une étude de 2019 réalisée par le Ponemon Institute a révélé que les entreprises aux États-Unis, au Royaume-Uni, en Allemagne et en France dépensent en moyenne environ 5,2 millions de dollars par an pour répondre aux problèmes liés aux mots de passe, révélant l’impact économique des pratiques de mots de passe faibles.

Authentification des utilisateurs

L’authentification des utilisateurs est essentielle pour la sécurité en ligne, et malgré l’éducation et les mouvements de sensibilisation, les utilisateurs continuent de pratiquer une mauvaise étiquette en matière de mots de passe et sont parfois victimes d’e-mails d’hameçonnage, ce qui conduit à un accès non autorisé, à des infections par des logiciels malveillants et à des violations de données. De plus, des négligences en matière de sécurité physique comme la perte de périphériques – par exemple, les ordinateurs portables ou les clés USB – ou le fait de les laisser sans surveillance peuvent entraîner des violations de données. Sans une formation adéquate en cybersécurité, les employés peuvent ne pas reconnaître les menaces potentielles pour la sécurité ou comprendre les meilleures pratiques pour les atténuer.

Pour traiter tous ces éléments humains, une éducation continue, une formation et des campagnes de sensibilisation à la cybersécurité sont néanmoins essentielles. Des outils tels que l’authentification multi-facteurs (MFA) peuvent également atténuer les risques associés aux erreurs humaines. Cependant, cultiver une culture de sécurité consciente aussi bien au niveau de l’entreprise qu’au niveau personnel est l’une des stratégies les plus efficaces pour protéger les actifs numériques.

Meilleures pratiques d’authentification

Avancer vers une culture consciente de la sécurité nécessite de repenser nos approches de l’authentification. L’authentification des informations d’identification de connexion vise à vérifier l’identité d’un individu et à garantir que l’accès au système n’est accordé qu’aux utilisateurs légitimes. Comprendre les meilleures pratiques pour les trois principales méthodes d’authentification des utilisateurs – mots de passe, phrases de passe et clefs de passe – est crucial pour empêcher l’accès non autorisé au système et contrecarrer les éventuels attaquants.

Les mots de passe sont des chaînes de caractères créées par l’utilisateur, tandis que les phrases de passe sont des séquences basées sur des mots plus longs pour une sécurité renforcée. Les clefs de passe utilisent la cryptographie à clé publique, stockée sur des appareils, et utilisent des données biométriques ou des clefs de sécurité comme second facteur d’authentification au lieu de codes.

Le facteur clé pour la sécurité, que vous utilisiez des mots de passe ou des phrases de passe, c’est la longueur. Augmenter la longueur d’un mot de passe rend le forçage brut beaucoup plus difficile. Les phrases de passe ont une force équivalente ou supérieure aux mots de passe de même longueur. Des mots de passe très longs, de plus de 20 caractères, ou des phrases de passe de plus de 5 mots offrent une protection qui peut prendre plus d’une vie humaine pour être crackée par la seule force brute.

Le tableau ci-dessous montre les temps approximatifs d’attaque par force brute estimés pour les mots de passe par rapport aux phrases de passe de différentes longueurs avec des chiffres, des lettres majuscules et minuscules, et des symboles. Notez que les temps estimés sont approximatifs car la vitesse de crack dépend fortement du matériel et des techniques de piratage utilisés. (Source : Auteur)

Caractéristiques clés des mots de passe, des phrases de passe et des clefs de passe

Mots de passe

• Authentification : les mots de passe sont l’une des méthodes les plus courantes pour l’authentification des utilisateurs. Ils aident les systèmes à vérifier l’identité des utilisateurs.
• Complexité : un mot de passe fort est généralement constitué d’un mélange de lettres majuscules et minuscules, de chiffres et de symboles, ce qui le rend difficile à deviner ou à casser en utilisant diverses méthodes de piratage.
• Chiffrement : dans les systèmes sécurisés, les mots de passe sont souvent stockés sous une forme chiffrée. Lorsque les utilisateurs saisissent leur mot de passe, le système chiffre l’entrée et la compare à la version chiffrée stockée.
• Utilisation : les mots de passe sont utilisés dans divers contextes numériques, notamment pour se connecter à des ordinateurs, des comptes de messagerie, des plateformes de médias sociaux, des services de banque en ligne, etc.
• Faiblesses de sécurité : en raison de leur utilisation généralisée et de leur construction souvent faible, les mots de passe sont souvent la cible d’attaques informatiques, telles que les attaques par force brute, les attaques par dictionnaire et l’hameçonnage. De plus, il peut être difficile de les retenir.
• Meilleures pratiques : il est recommandé d’avoir des mots de passe uniques pour différents comptes, de mettre régulièrement à jour les mots de passe et d’éviter d’utiliser des informations faciles à deviner, comme des dates de naissance ou des noms.
• Preuve supplémentaire d’identité : les mots de passe sont de plus en plus associés à d’autres méthodes d’authentification, telles que l’authentification à deux facteurs (2FA), pour améliorer la sécurité.

Phrases de passe

• Longueur : les phrases de passe sont généralement plus longues que les mots de passe. Cette longueur supplémentaire peut les rendre plus sécurisées contre les attaques par force brute.
• Mémorisation : les phrases de passe sont souvent composées de plusieurs mots ou d’une phrase, ce qui les rend plus faciles à retenir que les mots de passe complexes. Par exemple, « BlueSkyRainyDay! » est plus facile à retenir que « B$Rd#91! ».
• Utilisation : les phrases de passe fonctionnent bien pour les mots de passe principaux ou les clefs de chiffrement.
• Entropie : les bonnes phrases de passe ont une entropie élevée, ce qui signifie qu’elles sont aléatoires et difficiles à prévoir. Cela les rend résistantes aux attaques par dictionnaire, où un attaquant essaie chaque mot du dictionnaire.
• Utilisation en cryptographie : les phrases de passe sont souvent utilisées comme composant mémorisable par l’homme pour générer des clefs de chiffrement robustes. Par exemple, dans le chiffrement PGP (Pretty Good Privacy), une phrase de passe chiffre la clef privée.
• Facilité de saisie : parce qu’elles sont souvent composées de mots ou de phrases régulières, les phrases de passe peuvent être plus rapides et moins sujettes aux erreurs par rapport aux mots de passe avec un mélange de caractères, de chiffres et de symboles.
• Communauté : toutes les phrases de passe ne sont pas sûres. « password1234 » est techniquement une phrase de passe, mais ce n’est pas une phrase de passe sécurisée. Les bonnes phrases de passe doivent éviter d’utiliser des phrases ou des citations communes et inclure idéalement un mélange de types de caractères (majuscules, minuscules, chiffres, symboles) lorsque le système le permet.

Clefs de passe

• Cryptographie à clé publique : les clefs de passe sont souvent liées à des paires de clefs cryptographiques constituées d’une clef publique et d’une clef privée. La clef publique peut être partagée avec n’importe qui, tandis que la clef privée reste confidentielle.
• Basé sur l’appareil : les clefs de passe peuvent être générées et stockées sur l’appareil d’un utilisateur, tel qu’un smartphone ou un jeton de sécurité matériel. Les clefs de passe éliminent la réutilisation des mots de passe sur différents comptes.
• Authentification à deux facteurs (2FA) : dans certaines mises en œuvre, les clefs de passe sont utilisées dans le cadre d’un processus 2FA. En plus de quelque chose que vous savez (comme un mot de passe), cela implique quelque chose que vous avez, comme un appareil qui génère ou stocke une clef de passe, comme un YubiKey.
• Intégration biométrique : certains systèmes de clefs de passe intègrent la biométrie en tant que couche de sécurité supplémentaire. Un appareil peut nécessiter une numérisation d’empreinte digitale ou de reconnaissance faciale avant d’afficher ou d’utiliser la clef de passe.
• Utilisation en cas d’authentification temporaire : les clefs de passe peuvent parfois être des codes temporaires ou à usage unique générés dans le but d’une session ou d’une transaction spécifique.
• Éviter les secrets partagés : contrairement aux mots de passe, qui sont partagés avec le serveur pour validation (bien que généralement sous forme de hachage), les clefs de passe, en particulier dans le contexte de la cryptographie à clé publique, évitent le besoin de partager des secrets. Le serveur peut vérifier l’identité de l’utilisateur sans jamais connaître ou stocker la clef de passe exacte. Les clefs de passe sont résistantes à l’hameçonnage et aux fuites, sont plus faciles à utiliser et sont plus sécurisées.
   

Produits présentés

Le New Tech Tuesday de cette semaine présente l’EV97M19A de Microchip Technology et l’iShield Key Pro de Swissbit. Ces deux solutions de pointe sont conçues pour ceux qui exigent une sécurité sans compromis dans les applications techniques.

L’EV97M19A de Microchip Technology est une carte d’extension compacte mikroBUS™ conçue pour mettre en valeur les capacités SHA104 et SHA105 de Microchip. Alors que le SHA104 se concentre sur les applications côté accessoires comme les consommables, le SHA105 répond aux besoins côté hôte, permettant une authentification mutuelle. Ensemble, ils garantissent une authentification mutuelle symétrique robuste dans les environnements commerciaux et industriels.

Conçu pour une intégration transparente avec la plateforme CryptoAuth Trust et d’autres plateformes Microchip dotées d’un connecteur mikroBUS de MikroElektronika, l’EV97M19A prend également en charge la connexion à des cartes d’extension via l’ATMBUSADAPTER-XPRO. Il facilite le développement de systèmes d’authentification avec ses dispositifs Microchip intégrés.

Caractéristiques clés :

• Dispositifs SHA104 et SHA105 avec interface I2C pour l’authentification côté accessoire et côté hôte, respectivement
• Dispositif SHA104 supplémentaire avec interface SWI-PWM unique de Microchip
• Option pratique d’alimentation parasite pour le SHA104 et jumper sélectionnable
• Carte mikroBUS compacte avec en-tête de passage pour des cartes mikroBUS supplémentaires
• Alimentation par défaut de 3V avec une option de 5V via une résistance de 0Ω
• Indicateur lumineux d’alimentation intégré

L’iShield Key Pro de Swissbit (USB-A/NFC) offre une authentification sécurisée, simple et polyvalente. Cette solution basée sur du matériel renforce la protection des comptes en ligne contre les attaques en ligne telles que le phishing, l’ingénierie sociale et la prise de contrôle de compte, et s’aligne sur la réputation de Swissbit en matière de sécurité des données et des appareils. Conçu pour les entreprises, les infrastructures informatiques et les fournisseurs de services en ligne, il offre aux utilisateurs une protection supérieure pour les comptes en ligne personnels et professionnels grâce à la cryptographie asymétrique avancée. Fabriqué dans l’usine de Swissbit à Berlin, l’iShield Key Pro offre une qualité irréprochable et peut être personnalisé. Il prend en charge la NFC pour les appareils mobiles et s’intègre de manière transparente avec toutes les plateformes compatibles FIDO2 et U2F, permettant même des connexions sans mot de passe à Windows 10. Avec sa conception tout-en-un, il renforce l’authentification, remplace les mots de passe traditionnels et offre des options allant de l’authentification à un facteur à l’authentification à plusieurs facteurs.

Caractéristiques clés :

• Fonctionne avec des sites Web et des services compatibles FIDO2 et U2F
• Prend en charge les normes FIDO2 et U2F
• Cryptographie à clef publique et privée
• HOTP (Événement), Smartcard (compatible PIV), compatible OpenSC
• Clef de sécurité durable avec boîtier entièrement moulé, robuste et résistant à l’eau
• Authentification par contact NFC pour les appareils mobiles
• Authentification tactile pour l’interface USB-A
• Systèmes d’exploitation : Windows 10/11, macOS, iOS, Linux, Chrome OS, Android
• Navigateurs : Firefox, MS Edge, Google Chrome, Apple Safari

Conclusion

Les mots de passe sont une partie prépondérante de nos vies, et même si les incessantes exigences de les mettre à jour peuvent sembler fastidieuses, prendre l’authentification au sérieux est la première étape pour protéger nos données. Les mots de passe faibles représentent une vulnérabilité importante en matière de cybersécurité qui a un coût considérable. Une authentification sécurisée des utilisateurs est primordiale à l’ère numérique. Les mots de passe, les phrases de passe et les clefs de passe jouent un rôle vital pour garantir que seuls les utilisateurs autorisés accèdent aux systèmes. Chacun offre des avantages, mais leur efficacité dépend d’une utilisation et d’une compréhension adéquates. Cependant, quelle que soit la méthode d’authentification choisie, la longueur est un facteur de sécurité essentiel. La longueur d’un mot de passe influe directement sur sa résistance aux attaques par force brute. Bien qu’il existe de nombreuses meilleures pratiques en matière d’authentification, la longueur du mot de passe est la meilleure défense en cybersécurité.

Source originale : Mouser

À propos de l’auteur

Rudy est membre de l’équipe marketing de contenu technique de Mouser Electronics et possède plus de 35 ans d’expérience dans les systèmes électromécaniques avancés, la robotique, la pneumatique, les systèmes de vide, les hautes tensions, la fabrication de semi-conducteurs, le matériel militaire et la gestion de projets. En tant qu’expert en technologie, Rudy soutient les efforts marketing mondiaux grâce à sa connaissance approfondie des produits, en créant et en éditant du contenu technique pour le site Web de Mouser. Rudy a rédigé des articles techniques publiés sur des sites Web d’ingénierie et détient un BS en gestion technique et un MBA avec une spécialisation en gestion de projet. Avant de rejoindre Mouser, Rudy a travaillé pour National Semiconductor et Texas Instruments.

Retrouvez l’histoire de Raspberry Pi dans cette vidéo :