Si vous comparez différents gestionnaires de mots de passe ou recherchez des informations sur la sécurité des mots de passe, vous rencontrerez rapidement des termes comme hachage et ajout de sel. Bien que ces termes puissent sembler indiquer des étapes pour préparer des pommes de terre au petit-déjeuner, ce sont en réalité des processus essentiels pour sécuriser tout compte en ligne.
Cet article explique ce que signifient le hachage et l’ajout de sel des mots de passe, comment ils fonctionnent et pourquoi ils sont nécessaires.
Ajout de sel aux mots de passe
Comment nous sécurisons les mots de passe chez Proton
Hachage de mot de passe
Le hachage est une méthode permettant de brouiller l’information en une chaîne de lettres et de chiffres de longueur fixe. Vous pouvez prendre des informations non chiffrées, qu’il s’agisse d’un mot de passe, d’une image ou d’un livre entier, et les introduire dans une fonction de hachage, qui transforme ces informations en une valeur de hachage avec un nombre spécifique de caractères. Par exemple, SHA-256, l’une des fonctions de hachage les plus courantes, crée toujours des valeurs de hachage de 256 bits (32 octets).
Créez vos propres valeurs de hachage(new window)
En plus de créer un produit de longueur fixe, il y a deux autres éléments qui distinguent le hachage du chiffrement standard. Le hachage est :
- Irréversible, Vous ne pouvez pas « déhacher » (ou régénérer les informations initiales) une valeur de hachage quel que soit ce que vous faites.
- Déterministe, si vous entrez les mêmes informations dans une fonction de hachage, cela renverra la même valeur de hachage à chaque fois.
- Imprévisible, il devrait être presque impossible de deviner la valeur de hachage résultante pour des informations d’entrée données. En fait, si vous pouvez prendre une valeur de hachage et deviner ou créer facilement les informations d’entrée qui généreraient cette valeur de hachage, cette fonction de hachage devrait être considérée comme vulnérable et évitée.
Ces trois caractéristiques font du hachage une bonne méthode pour stocker et vérifier les mots de passe en toute sécurité.
Hachage, stockage des mots de passe et authentification des mots de passe
Lorsque vous créez un nouveau compte en ligne, vous fournissez invariablement un nom d’utilisateur (généralement votre adresse e-mail) et créez un mot de passe. Cela permet au service de savoir qui vous êtes et de vérifier qu’il s’agit bien de vous.
Mais le mot de passe crée un problème délicat pour les fournisseurs de services. Ils ont essentiellement trois options. Ils peuvent stocker votre mot de passe en texte clair, chiffré ou haché.
Il n’est pas nécessaire d’être expert en cybersécurité pour voir les problèmes de stockage des mots de passe en texte clair. Cela permettrait au service d’accéder à votre compte quand il le souhaite, et votre mot de passe serait exposé en cas de violation.
Le chiffrement ne fonctionne pas non plus. Si un service chiffre un mot de passe avec des clés qu’il contrôle, il peut toujours accéder à votre mot de passe à tout moment (et potentiellement l’exposer en cas de violation). Et il ne peut pas chiffrer votre mot de passe avec une clé qu’il ne contrôle pas (une clé sur votre appareil, par exemple), car cela ne permet pas de vérifier que votre mot de passe est correct lorsque vous vous connectez.
Le hachage est un bon compromis. Parce que le hachage est irréversible, les services peuvent stocker votre mot de passe et assurer à leurs utilisateurs qu’ils ne peuvent pas accéder à leurs comptes et que leurs mots de passe seront en sécurité en cas de violation.
Et parce que le hachage est déterministe, un service peut vérifier un mot de passe en comparant les deux valeurs de hachage. Si les valeurs de hachage correspondent, le service sait que les informations d’entrée (les mots de passe) correspondent, même s’il ne connaît pas le mot de passe réel.
C’est un système astucieux, mais le hachage a un problème de prévisibilité. Si vous supposez que l’un des mots de passe les plus courants pour tout service sera « motdepasse ». Avec ces informations, vous pouvez probablement trouver les comptes qui utilisent « password » simplement en regardant les valeurs de hash les plus répétées.
En fait, il existe une cyberattaque dédiée à la cassure des hashes en utilisant les soi-disant tables arc-en-ciel, qui compilent des hashes et tentent de comprendre les règles qui les régissent dans de grandes tables. Elles sont efficaces justement parce que les hashes sont prévisibles.
Salage des mots de passe
Pour minimiser la prévisibilité d’une fonction de hash, les programmeurs utilisent le salage. Le salage est une technique qui prend la fonction de hash prévisible et y ajoute un peu de « saveur » supplémentaire, d’où le terme « sel », sous forme d’imprévisibilité. Un sel est un court ensemble de caractères aléatoires ajouté à chaque mot de passe avant qu’il ne soit hashé.
Ce qui rend un sel spécial, c’est que chacun est unique pour chaque utilisateur. Si vous créez un mot de passe avec un service, il est attribué un sel que personne d’autre ne possède. Si vous changez votre mot de passe, certains services utiliseront un nouveau sel. Cela garantit essentiellement qu’aucun mot de passe (et donc aucune valeur de hachage) ne soit jamais répété tant qu’une nouvelle valeur de sel aléatoire est utilisée pour chaque nouveau mot de passe.
Cela rend la tâche de tout attaquant potentiel beaucoup plus difficile. Leurs tables arc-en-ciel sont inutiles puisque le salage rend les valeurs de hachage imprévisibles. Il ne reste plus qu’à s’assurer que votre mot de passe soit suffisamment aléatoire pour dissuader toute attaque par dictionnaire.
Comment nous sécurisons les mots de passe chez Proton
Chez Proton, nous plaçons la confidentialité et la sécurité de nos utilisateurs au premier plan. Nous n’envoyons jamais votre mot de passe à nos serveurs, en nous appuyant plutôt sur le protocole Secure Remote Password (SRP). SRP permet à un utilisateur de s’authentifier auprès d’un serveur (et vice versa) en prouvant qu’il connaît le mot de passe sans partager le mot de passe lui-même ou toute information qu’un attaquant pourrait utiliser pour dériver le mot de passe (comme une somme de hachage, par exemple). Votre mot de passe reste sécurisé sur votre appareil.
En savoir plus sur l’utilisation de SRP par Proton
Nous utilisons des techniques de hachage et de salage, mais pour vos clés de compte. Une fois que vous vous êtes connecté avec succès, Proton envoie les clés de votre compte à votre client. Votre client sale et hache ensuite votre mot de passe à l’aide de bcrypt et utilise la valeur de hachage résultante comme clé pour déchiffrer la clé de votre compte. Une fois la clé de votre compte déchiffrée, elle peut alors être utilisée pour accéder à vos courriels, calendriers, etc. Ce processus se déroule localement sur votre appareil donc votre mot de passe et le hachage ne le quittent jamais.
Vous pouvez étendre ce niveau de protection à vos autres comptes également avec Proton Pass, notre gestionnaire de mots de passe chiffré de bout en bout.
Comme vous pouvez le lire dans notre analyse complète du modèle de sécurité de Proton Pass, nous chiffrons de bout en bout vos mots de passe individuellement ainsi que les coffres où vous les stockez, empêchant quiconque, y compris nous, de voir vos éléments à tout moment du processus de transfert.
Nous pouvons offrir ce type de sécurité améliorée parce que nous sommes entièrement financés par vous, nos utilisateurs. Sans actionnaires ni investisseurs en capital-risque à satisfaire, nous pouvons nous concentrer sur le développement d’outils offrant le meilleur en matière de sécurité et d’ergonomie, sans réduire les coûts ni faire de compromis.
Le résultat est un service qui vous place en premier, que ce soit en offrant la meilleure technologie de chiffrement ou une interface de premier ordre. Si cela correspond à ce que vous souhaitez, rejoignez Proton Pass dès aujourd’hui.
