211service.com
Pour protéger les mots de passe des pirates informatiques, il suffit de les diviser en morceaux
Une nouvelle façon pour les sites Web et autres services en ligne de stocker les mots de passe pourrait empêcher des violations comme celle qui a permis à 6,5 millions d'utilisateurs de LinkedIn de publier leurs mots de passe en ligne plus tôt cette année.
Ce type de vidage de données se produit lorsqu'un attaquant accède au serveur stockant les mots de passe des utilisateurs. Des chercheurs de la société de sécurité informatique RSA ont créé un système qui divise les mots de passe en deux et stocke chaque moitié dans des emplacements différents. Les deux moitiés ne se rejoignent jamais, même lorsqu'une personne se connecte et fait vérifier son mot de passe. Cela devrait rendre plus difficile pour quelqu'un de les voler, car un voleur devrait s'introduire dans ces deux serveurs, qui peuvent être protégés de différentes manières.
Le stockage des mots de passe est de plus en plus problématique en raison de la fréquence croissante des violations mais aussi parce que leurs conséquences se sont multipliées, selon Ari Juels , qui dirige les laboratoires de recherche de RSA à Cambridge, Massachusetts. Juels dit que perdre le contrôle d'un compte en ligne peut fournir aux attaquants des informations pour aider à pénétrer dans d'autres, et de nombreuses personnes réutilisent simplement les mots de passe sur plusieurs comptes de toute façon.
Bien que LinkedIn et de nombreuses autres entreprises cryptent les mots de passe, de sorte que leurs serveurs ne contiennent pas la chaîne exacte qu'un utilisateur tape, les attaquants disposent d'une gamme d'outils qui peuvent inverser ce cryptage, explique Juels. Même les meilleures pratiques, que LinkedIn n'a pas utilisées, peuvent être enfreintes.
Notre point de vue est qu'il est préférable que les mots de passe et autres informations d'identification ne soient pas stockés au même endroit, dit Juels, ce qui rend plus difficile pour un attaquant d'obtenir tout ce dont il a besoin pour recréer le mot de passe d'une personne.
Le nouveau schéma de RSA fonctionne en brisant un mot de passe en plusieurs petits morceaux et en stockant la moitié de ces morceaux, choisis au hasard, à un endroit et le reste à un autre. RSA appelle l'approche la protection des informations d'identification distribuées. Si un endroit est attaqué, les mots de passe sont toujours en sécurité, explique Juels. Là où la magie entre en jeu, c'est la capacité du système à vérifier les mots de passe sans les réassembler.
Lorsqu'une personne se connecte à un système à l'aide d'une protection d'identification distribuée, le mot de passe qu'elle fournit est divisé en deux chaînes de données cryptées. Chaque chaîne est ensuite envoyée à l'un des deux serveurs de mots de passe, où elle est combinée avec la moitié du mot de passe stocké sur ce serveur pour créer une nouvelle chaîne. Les deux serveurs comparent ensuite ces deux nouvelles chaînes pour déterminer si le mot de passe est correct ou non. Les mathématiques impliquées signifient qu'il est impossible de déterminer le mot de passe à partir de l'une ou l'autre de ces chaînes, ou des deux combinées, de sorte que le mot de passe reste inconnu même si un attaquant peut capturer les chaînes.
Les deux serveurs impliqués peuvent être configurés avec des systèmes d'exploitation différents et dans des emplacements différents, explique Juels, donc le vol de mots de passe nécessite la réussite de deux attaques distinctes. Ceux-ci devraient également se produire rapidement, car le système actualise périodiquement la moitié aléatoire des extraits d'un mot de passe stockés sur chaque serveur.
Le logiciel sera mis en vente plus tard cette année, dit Juels.
La nouvelle approche de RSA est une version d'une technique connue sous le nom de cryptographie à seuil, qui a longtemps été explorée par les chercheurs. Le concept n'est pas nouveau, mais ce serait la première fois qu'il est déployé auprès du grand public, affirme Dan Boneh , un professeur à l'Université de Stanford qui a fait des recherches sur de telles conceptions. La cryptographie à seuil est utilisée en coulisse par les sociétés, appelées autorités de certification, qui délivrent les certificats de sécurité numérique qui aident les ordinateurs et les navigateurs Web à savoir à quels serveurs faire confiance, par exemple, lors de la connexion à un site Web bancaire.
Une façon d'améliorer l'efficacité de l'approche serait de diviser les mots de passe ou les secrets sur plus de deux serveurs, explique Boneh. Juels dit que RSA prévoit de rendre cela possible à l'avenir et de publier un logiciel qui permet d'utiliser l'approche de séparation de secrets pour protéger les données cryptées, par exemple, pour les fichiers stockés dans un service cloud.
Cependant, note Boneh, il existe d'autres moyens de voler les secrets d'une personne. Avec la gestion des mots de passe, la principale préoccupation est souvent l'utilisateur final : si la machine de l'utilisateur est infectée par des logiciels malveillants, il n'y a pas grand-chose à faire pour les sécuriser sans recourir à un jeton physique, explique Boneh, faisant référence aux systèmes qui exigent que les gens portez un porte-clés ou utilisez une application téléphonique pour fournir un mot de passe temporaire à chaque fois qu'ils se connectent.
Cette approche, connue sous le nom d'authentification à deux facteurs, n'est généralement requise que pour les comptes d'entreprise ou financiers, mais Google et Facebook l'offrent maintenant pour leurs comptes en ligne en raison du commerce rapide de la compromission de ces comptes.