Zoom sur les hachages : fonctions, algorithmes et applications
Qu'est-ce qu'un gestionnaire de mots de passe dérivatif ?
Dans le monde numérique d'aujourd'hui, la sécurité des mots de passe est plus importante que jamais. Les cybercriminels étant constamment à la recherche de nouveaux moyens d'accéder à nos comptes et de voler nos données, l'un des meilleurs moyens de se protéger est d'utiliser des mots de passe forts et uniques pour chaque compte.
Cependant, il peut être difficile de se souvenir de mots de passe forts et uniques pour tous nos comptes. C'est pourquoi l'utilisation de gestionnaires de mots de passe est une solution de plus en plus populaire. En général, les données d'authentification d'un gestionnaire de mots de passe traditionnel intègrent à la fois l'utilisateur et le mot de passe dans un ensemble unique de données cryptées avec un mot de passe principal. La connaissance de ce mot de passe principal révèle l'intégralité des données d'authentification protégées par le gestionnaire traditionnel et, par conséquent, une attaque visant à déterminer un seul élément de données critique peut entraîner une faille de sécurité catastrophique.
LISTHASH met en œuvre une nouvelle forme de gestion des mots de passe qui intègre de multiples points de contrôle et garantit une confidentialité absolue des données d'authentification de l'utilisateur. En utilisant des fonctions de hachage, il fournit les mécanismes nécessaires pour créer des mots de passe forts et sûrs dérivés des données fournies par l'utilisateur lors du processus de génération du mot de passe. C'est pourquoi nous appelons LISTHASH un gestionnaire de mots de passe dérivatif, puisqu'il dérive de manière chaotique mais déterministe de nouvelles données à partir d'une base d'informations suffisamment complexe pour être utilisée comme mot de passe.
Qu'est-ce que la dérivation de mots de passe à partir d'une graine maîtresse ?
La dérivation de mots de passe à partir d'une graine maîtresse est une méthode permettant de générer des mots de passe sûrs et uniques à partir d'un ensemble de données secrètes, appelé graine maîtresse. La graine maîtresse peut être une phrase, un morceau de texte ou une série de données dont la seule condition est d'être suffisamment longue et complexe pour être difficile à deviner pour un attaquant, tout en restant aisément mémorisable par un utilisateur disposant de connaissances approfondies en matière de sécurité numérique.
Une fois que vous disposez d'une graine maîtresse, vous pouvez utiliser une fonction de hachage pour générer des mots de passe uniques pour chaque compte. Comme nous l'avons déjà expliqué, une fonction de hachage est une fonction mathématique qui prend une entrée (dans ce cas, la graine maîtresse) et la convertit en une sortie (dans ce cas, le mot de passe). La sortie de la fonction de hachage est toujours la même pour une même entrée, mais il est impossible d'inverser la fonction pour retrouver l'entrée à partir de la sortie.
Comment les hachages fonctionnent-ils pour créer des mots de passe ?
L'utilisation de hachages pour créer des mots de passe est un moyen simple mais efficace de protéger les données d'authentification. En combinant une phrase, une clé ou un ensemble de données mémorables mais statistiquement complexes avec une fonction de hachage sécurisée, vous pouvez créer des mots de passe uniques et difficiles à deviner qui protégeront vos données contre les cybercriminels. Le processus de base à suivre est le suivant :
1. Choisissez une phrase, une clé ou un élément de données qui représente une information complexe et sûre, mais qui est facile à mémoriser et qui ne permet pas de remonter facilement jusqu'à l'utilisateur:c'est la graine. Par exemple, un fragment de livre, une image spécifique ou un élément de données visible à l'œil nu mais indéterminé pour un attaquant.
2. Utiliser une fonction de hachage, telle que SHA-256, pour convertir la graine en une valeur de hachage unique et en un élément fondamental intermédiaire pour la récupération des données d'authentification.
3. Ajouter du sel, ou « salage », pour accroître la sécurité. Dans ce cas, le salage correspond à une valeur secrète, par exemple un mot de passe principal, qui est combinée à la graine avant que la fonction de hachage ne soit appliquée une seconde fois, rendant encore plus difficile pour un attaquant de déchiffrer le mot de passe final.
4. Faire correspondre le résultat de l'application de la fonction de hachage finale à une chaîne de caractères alphanumériques provenant de la graine et pouvant être utilisée comme mot de passe.
L'utilisation de la dérivation de mot de passe à partir d'une graine maîtresse présente-t-elle des risques ?
Le principal risque lié à cette méthode est que si vous perdez votre graine maîtresse, si vous ne vous en souvenez pas, ou si vous oubliez les données utilisées pour saler la graine, il vous sera impossible d'accéder à vos comptes. Il est donc crucial de choisir une graine maîtresse que seul l'utilisateur peut mémoriser, mais qui reste impossible à déterminer pour un attaquant.
Points de contrôle de LISTHASH
Pour parvenir à une confidentialité absolue et à la génération de mots de passe forts et sûrs, LISTHASH établit trois points de contrôle dans son processus de dérivation :
1. Graine : Au départ, une graine est utilisée pour fournir non seulement des données uniques et sûres, mais aussi l'ensemble des caractères qui seront utilisés par le gestionnaire pour générer le mot de passe. LISTHASH exige que la graine contienne au moins 62 caractères différents pour être acceptée par l'application.
2. Liste des comptes : Chaque compte enregistré dans LISTHASH possède un identifiant unique et est représenté par les données du service, l'utilisateur et la longueur du mot de passe à générer. Ces données sont cryptées par défaut afin qu'elles puissent être exportées en dehors de l'appareil qui les stocke.
3. Codes secrets : Enfin, pour la génération, l'utilisateur fournit des codes secrets dont il est le seul à se souvenir. Ces codes ont pour rôle d'ajouter du « sel » à la génération finale du mot de passe, en augmentant l'incertitude du résultat des fonctions de hachage.
Important : L'absence d'informations spécifiques à l'un des points de contrôle susmentionnés rendra impossible l'accès aux données d'authentification correctes. Par conséquent, seule une connaissance approfondie des données spécifiques à chaque point de contrôle permettra de récupérer un mot de passe. Ce processus garantit qu'une violation de deux points de contrôle au maximum est inutile pour un attaquant dans sa tentative d'obtenir les données d'authentification de l'utilisateur.
En outre, les gestionnaires de mots de passe classiques signalent clairement à un pirate qu'il a réussi à compromettre le mot de passe principal, car seul le décryptage génère un résultat lisible qui permet d'accéder aux données d'authentification. En revanche, les données de contrôle LISTHASH produisent toujours des valeurs d'authentification lisibles mais non valides, puisque seules des données exactes et correctes à chaque point de contrôle correspondent à des données d'authentification valides. Une attaque par force brute dans ces conditions est encore plus inefficace, car elle nécessite de tester toutes les combinaisons possibles directement sur le service lié à un compte, et ce type d'attaque peut être rapidement atténué en dépassant les erreurs admissibles par un service.
Avec LISTHASH, l'utilisateur du gestionnaire n'est pas obligé de renoncer à sa vie privée ni de confier la sécurité de ses données à un service en nuage susceptible d'être piraté.