Honeyword : faux mot de passe, vraie bonne idée !

Announcements
1

 

13mai_FONDS036-300x232.jpg

Inutile me semble-t-il de revenir en détails sur le maillon faible que représentent aujourd’hui les mots de passe dans la chaîne de sécurité informatique…De nombreux exemples récents ayant clairement montré qu’il était temps de se pencher sérieusementsur le problème.

 

On connait bien les réticences des internautes à l’utilisation de mots de passe complexes (ou longs…) bien que cela soit seule protection de leurs comptes en ligne et malgré l’existence de solutions simples et gratuites (comme par exemple : Norton Identity Safe)

 

Les attaques de plus grande ampleur, visant l’accès à des milliers ou des millions de mots de passe s’appuyent sur des méthodes différentes mais bien connues telles que l’injection SQL. A noter à ce propos un document de l’OWASP (Open Web Application Security Project) qui la place première des methodes d’attaques utilisées contre les applications web (OWASP Top 10 ).

 

Une fois le fichier des “hashs” de mots de passe récupéré, le temps nécessaire à l’obtention des mots de passe en clair n’est qu’une question de moyens mis en oeuvre (Brute Force, Rainbow Tables…). Les mots de passe obtenus vont alors servir aux attaquants à se connecter sur les infrastructures cibles…

 

Et c’est là qu’un document publié récemment par des chercheurs du MIT (Ari Juels et Ronald Rivest, le “R” de RSA…) propose une approche intéressante,  via les HONEYWORDS :

 

  • Créer 2 mots de passe, le vrai et un faux, dont l’utilisation pour l’accès à un système sera détectée comme une tentative d’intrusion !

Voici le lien vers le document in-extenso et un court extrait :

 

Honeywords: Making Password-Cracking Detectable

 

“We suggest a simple method for improving the security of hashed passwords: the maintenance of additional \honeywords” (false passwords) associated with each user’s account. An adversary who steals a file of hashed passwords and inverts the hash function cannot tell if he has found the password or a honeyword. The attempted use of a honeyword for login sets an alarm. An auxiliary server (the \honeychecker”) can distinguish the user password from honeywords for the login routine, and will set an alarm if a honeyword is submitted.”

 

Traduction :

Nous proposons une méthode simple pour améliorer la sécurité des mots de passe hachés : L'utilisation des « honeywords » supplémentaires (faux mots de passe utilisés pour « piéger » les pirates) associées à chaque compte d'utilisateur. Un pirate qui dérobe un fichier de mots de passe hachés et qui inverse la fonction de hachage ne peut pas savoir s’il a récupéré le véritable mot de passe ou un « honeyword ». La tentative d'utilisation d’un « honeyword » pour une connexion déclenche une alarme. Un serveur auxiliaire, le « honeychecker » peut faire la distinction entre le véritable mot de passe des « honeywords » de connexion et déclenchera une alarme si un « honeyword » est utilisé.

 

Bien sûr, un certain nombre de problèmes restent à résoudre (section 9 – Open Problems) avant une mise en application concrète, mais l’idée semble prometteuse….. et puis c’est le MIT, alors bon, quand même !!!

 

Cela dit, il reste toujours le fameux “Internet Password Minder” :smileywink:

 

 

 

 

Et bientôt un article sur les HONEYFILES, sauf que là, cela existe et cela fonctionne déjà !!!

 

[Source: Helloblog.fr, 13 mai  2013]