Vive le mot de passe – même si vous ne le souhaitez pas

Vive le mot de passe – même si vous ne le souhaitez pas

Dans le monde interconnecté d’aujourd’hui, nous interagissons avec des applications et des systèmes sur une myriade d’appareils, des smartphones et tablettes aux ordinateurs de bureau, en passant par les moniteurs pour bébé, les technologies portables et même nos voitures. Pour accéder à la plupart de ces applications et systèmes, nous devons nous authentifier, c’est-à-dire confirmer que notre identité numérique correspond à ce que nous sommes dans le monde réel, que ce soit auprès de notre banque, de nos programmes de fidélisation, de nos services de livraison de nourriture ou de la répartition.

Pour nous authentifier, nous devons partager quelque chose pour nous identifier et une sorte de secret partagé, qui est dans la plupart des cas un mot de passe. Ce mot de passe est rarement propre à une plate-forme ou très complexe, à moins que la personne authentifiant son identité dispose d’une mémoire de très bonne qualité, l’écrit ou utilise un gestionnaire de mots de passe. Dans la plupart des cas, les mots de passe sont plutôt faibles et, lorsqu’ils le sont, ils peuvent être facilement devinés ou déchiffrés.

Le problème avec les mots de passe est qu’ils ne sont pas à l’échelle. Une personne peut avoir des centaines de mots de passe alors que les utilisateurs privilégiés peuvent en avoir des milliers. Sans système en place pour gérer les secrets d’authentification, les utilisateurs recourront très probablement à une poignée de mots de passe pour protéger un grand nombre de comptes. Cela pose un grave problème: si jamais un serveur ou un site Web présentant une sécurité minimale est violé et que les mots de passe sont exposés, soit parce qu’ils ont été stockés en texte brut, soit que la victime a utilisé un mécanisme de stockage de mots de passe faible, ces mots de passe volés peuvent être utilisés pour accéder à la plate-forme compromise et une pléthore d’autres comptes.

Pour lutter contre les compromissions dues aux mots de passe faibles ou volés, de nombreuses organisations ont mis en œuvre une authentification à deux facteurs (2FA) ou une authentification multifactorielle (MFA), exigeant une information supplémentaire en plus de l’ancien mot de passe.

Le paradigme symbolique

2FA et MFA sont des techniques d’authentification dans lesquelles le processus d’authentification requiert quelque chose que vous possédez et que vous connaissez. Dans le cas de quelque chose que vous connaissez, c’est le mot de passe. Dans le cas de quelque chose que vous possédez, il s’agit généralement d’un code à usage unique pouvant être généré par un périphérique matériel, tel qu’un jeton fob, ou par un certain nombre d’autres périphériques physiques. Ou bien, il peut être généré par un logiciel sur un ordinateur ou un appareil mobile (c’est-à-dire un jeton logiciel).

Lorsque vous examinez en détail le fonctionnement d’un jeton d’authentification, il s’agit généralement d’un périphérique matériel contenant un blob de matériel cryptographique qui effectue une opération sur une horloge synchronisée sur le temps universel coordonné (UTC) ou sur un compteur de jetons pour produire une sorte de réponse au défi, généralement sous la forme d’un nombre à six chiffres en constante évolution.

Bien que ce code ne soit pas un mot de passe, il provient d’un secret d’authentification pouvant être volé si le serveur 2FA / MFA était compromis par des acteurs adverses. Ce type de compromis pourrait permettre aux attaquants d’avoir accès à toute la série de codes de second facteur et de casser les jetons de sécurité supplémentaires qu’ils peuvent fournir.

La biométrie (solution consistant à collecter des informations numériques sur les caractéristiques physiques d’une personne, telles que les empreintes digitales, les scanners rétiniens, les signatures vocales, les empreintes de main complètes et les scanners faciaux) peut renforcer la sécurité lorsqu’elle est appliquée en couche. Cela étant dit, les données biométriques doivent être considérées comme un nom d’utilisateur, car elles ne peuvent être ni révoquées ni modifiées si elles sont compromises. L’utilisateur aura toujours la même empreinte digitale. De plus, l’intelligence artificielle (IA) peut désormais permettre la réplication des traits du visage et des empreintes vocales. Récemment, des chercheurs ont démontré que les gels peuvent être utilisés pour copier les empreintes digitales, et la reconnaissance faciale a parfois été trompée par un certain format de la photo de l’utilisateur.

2FA / MFA par message texte est une autre possibilité de sécurité en couches, mais son efficacité s’est détériorée avec l’augmentation du nombre de programmes malveillants mobiles pouvant détourner ces messages, par échange de carte SIM, ce qui peut être dévastateur pour les systèmes d’authentification qui en dépendent, et par des attaques à plus grande échelle pouvant compromettre le protocole de communication sous-jacent – système de signalisation n ° 7 ou SS7.

Les mots de passe et l’entreprise

Voyons l’utilisation des mots de passe dans un contexte d’entreprise. La plupart des entreprises exécutent une sorte de serveur Microsoft Windows, généralement connecté via un équipement réseau et hébergeant plusieurs périphériques connectés via un réseau local (LAN) ou un réseau étendu (WAN). La gestion de l’accès et de la disponibilité des utilisateurs repose sur le bon fonctionnement du réseau.

Bien que rares, les réseaux ont souvent des pannes qui peuvent avoir un impact sur l’accès des utilisateurs et sur la sécurisation de cet accès. Pour vous connecter à un routeur, un commutateur ou un autre périphérique réseau, un nom d’utilisateur et un mot de passe sont généralement requis, ainsi que, dans certains cas, une authentification multifacteur. Les périphériques réseau ont généralement une authentification centrale, telle que TACACS + ou le service RADIUS, qui centralise la gestion des utilisateurs avec authentification, autorisation et comptabilité (AAA ou triple A). L’authentification centrale est reliée à l’annuaire Active Directory de l’entreprise afin que les administrateurs ne soient pas obligés de programmer leurs informations d’identification sur chaque appareil.

Le problème avec ce schéma est qu’en cas de panne du réseau, la sécurité peut être affectée par la disparition des exigences d’authentification par couches sans la prise en charge du réseau. Voici comment cela pourrait se produire: le serveur d’authentification distant sera indisponible et un mot de passe d’urgence sera requis pour accéder au périphérique. Cela empêcherait l’utilisation de systèmes alternatifs tels que l’authentification multifacteur, les certificats et d’autres méthodes hors bande, car le périphérique ne pourra pas communiquer avec son serveur d’authentification.

Active Directory signifie mots de passe actifs

Voyons maintenant Windows. Tout dans Active Directory possède un compte, des utilisateurs aux utilisateurs privilégiés, en passant par les comptes de service et même les ordinateurs. Chacun de ces comptes dispose d’un mot de passe Active Directory pour s’authentifier auprès du réseau. Même lorsque l’utilisation de la carte à puce est imposée pour l’authentification, un mot de passe est toujours défini. Il se trouve simplement qu’il est défini sur un mot de passe de 128 caractères généré de manière aléatoire.

Bien que cela puisse être sécurisé en théorie, avec Windows, les hachages de mots de passe sont équivalents aux mots de passe. Par conséquent, si une personne parvient à récupérer le hachage en mémoire, elle peut alors “transmettre le hachage” et s’authentifier sur le réseau sans connaître le mot de passe en texte brut. ou phrase secrète. Cela signifie que même avec l’authentification de la carte à puce en vigueur – ce qui supprime l’obligation de mot de passe – un mot de passe est toujours défini efficacement et peut être compromis, souvent avec des outils facilement disponibles sur Internet.

En fin de compte, tant qu’un mot de passe ou une phrase secrète peut laisser entrer quelqu’un, il peut également être compromis pour laisser entrer les attaquants. Et bien que la solution idéale consiste à supprimer complètement les mots de passe, ce ne sera pas facile et cela sera probablement gagné bientôt.

Dans le monde de l’entreprise Active Directory, les mots de passe peuvent ne jamais disparaître sans une réingénierie poussée.

Insécurité des mots de passe dans le monde de l’IoT

Les mots de passe sont également un problème de sécurité dans les endroits où la sécurité est plus une réflexion après coup. Examinons les périphériques Internet des objets (IoT), tels que les voitures, les appareils médicaux, les robots, les routeurs, les cafetières, etc. La plupart de ces périphériques exécutent une sorte de système d’exploitation Linux et ne sont pas connectés par un répertoire actif central. Ils sont en réalité autonomes.

Ces périphériques doivent être réparés, ce qui signifie qu’ils nécessitent une interface pour se connecter à distance. La forme d’authentification la plus simple dans ce cas est un mot de passe. Ici encore, les fabricants définissent des mots de passe par défaut faibles pour le périphérique, que les utilisateurs modifient alors rarement. Ces faiblesses ont entraîné la compromission de millions d’appareils connectés qui ont été intégrés dans des attaques massives par déni de service distribué (DDoS) sur de grandes marques et des infrastructures de communication à travers le monde.

Est-ce que cela est sur le point de changer maintenant que le risque est connu? Avec des millions d’appareils sur le marché, les chances de tous être rappelés et remplacés par une solution d’authentification sans mot de passe sont très minces.

Les mots de passe sont morts, vive le mot de passe

Les mots de passe existent toujours car ils sont peu coûteux et faciles à mettre en œuvre, mais cela ne signifie pas qu’ils sont très sécurisés. De nos jours, la suppression des mots de passe est une priorité pour de nombreux fournisseurs de services et organisations de sécurité à but non lucratif. Certaines initiatives louables font des progrès, telles que FIDO2, qui vise à permettre aux utilisateurs d’exploiter des périphériques courants pour s’authentifier facilement auprès de services en ligne, et une authentification basée sur les certificats et les risques, qui vise à réduire l’impact de la réutilisation des mots de passe.

Cependant, pour minimiser l’impact d’un mot de passe, une plus grande diversité de chemins d’authentification est également nécessaire. Si un jeton est volé, vous avez toujours besoin d’une sorte de secret pour l’empêcher d’être utilisé à votre insu. Les gestionnaires de mot de passe, la longueur du mot de passe, l’entropie ou le caractère aléatoire et les cycles fréquents de secrets d’authentification restent parmi les meilleures défenses contre les compromis. Voici quelques bonnes pratiques en matière de mot de passe:

  • Les mots de passe doivent être longs, avoir au moins 12 caractères et idéalement 16 caractères ou plus.
  • Les mots de passe doivent être générés aléatoirement et ressembler à du bruit de ligne, tels que “? G * T) MdC9R [4n} (m” ou “6% 8/4} LSy6] zfPq +”.
  • Les mots de passe doivent être secrets et uniques entre les sites, ce qui signifie que vous ne devez pas utiliser le même nom à plus d’un endroit. Oh, et n’utilisez pas les mots de passe ci-dessus.
  • Les mots de passe doivent être changés régulièrement.
Minimiser l’impact de la faiblesse du mot de passe

Les gens choisiront inévitablement de mauvais mots de passe. Ils les réutiliseront entre les sites Web et utiliseront même une variante de ce mot de passe au sein de l’entreprise. Mais il existe des moyens d’aider l’organisation à atténuer l’impact de ces problèmes difficiles à contrôler.

Pour commencer, des audits fréquents des mots de passe sont recommandés. X-Force Red est une équipe autonome de pirates informatiques expérimentés au sein d’IBM Security, embauchés pour percer dans les organisations et découvrir les vulnérabilités risquées que des attaquants criminels peuvent utiliser à des fins personnelles. X-Force Red effectue des audits de mot de passe en utilisant un cluster de cracking de mots de passe appelé Cracken.

Lors d’un test de pénétration interne, une fois que X-Force Red a pris le contrôle du mot de passe du domaine, les hachages sont extraits, puis fissurés avec Cracken, ce qui permet l’utilisation de mots de passe faibles, tels que Passw0rd, Spring2019 !, Zaq12wsx, Qwertyui et Welcome1 !, détecté et assaini.

Cracken peut également être utilisé contre les hachages de mots de passe stockés dans des bases de données, sur des appareils IoT tels que les systèmes d’infodivertissement pour voitures et partout où des hachages sont disponibles.

Des tests de pénétration fréquents sont recommandés pour aider à découvrir et à renforcer les mots de passe faibles. Vous ne serez pas surpris de savoir où trouver des mots de passe et d’autres secrets d’authentification.