Proton

Si vous comparez différents gestionnaires de mots de passe ou recherchez des informations sur la sécurité des mots de passe, vous rencontrerez rapidement des termes comme hachage et ajout de sel. Bien que ces termes puissent sembler indiquer des étapes pour préparer des pommes de terre au petit-déjeuner, ce sont en réalité des processus essentiels pour sécuriser tout compte en ligne.

Cet article explique ce que signifient le hachage et l’ajout de sel des mots de passe, comment ils fonctionnent et pourquoi ils sont nécessaires.

Hachage des mots de passe

Ajout de sel aux mots de passe

Comment nous sécurisons les mots de passe chez Proton

Hachage de mot de passe

Le hachage est une méthode permettant de brouiller l’information en une chaîne de lettres et de chiffres de longueur fixe. Vous pouvez prendre des informations non chiffrées, qu’il s’agisse d’un mot de passe, d’une image ou d’un livre entier, et les introduire dans une fonction de hachage, qui transforme ces informations en une valeur de hachage avec un nombre spécifique de caractères. Par exemple, SHA-256, l’une des fonctions de hachage les plus courantes, crée toujours des valeurs de hachage de 256 bits (32 octets).

Créez vos propres valeurs de hachage(new window)

En plus de créer un produit de longueur fixe, il y a deux autres éléments qui distinguent le hachage du chiffrement standard. Le hachage est :

  • Irréversible, Vous ne pouvez pas « déhacher » (ou régénérer les informations initiales) une valeur de hachage quel que soit ce que vous faites.
  • Déterministe, si vous entrez les mêmes informations dans une fonction de hachage, cela renverra la même valeur de hachage à chaque fois.
  • Imprévisible, il devrait être presque impossible de deviner la valeur de hachage résultante pour des informations d’entrée données. En fait, si vous pouvez prendre une valeur de hachage et deviner ou créer facilement les informations d’entrée qui généreraient cette valeur de hachage, cette fonction de hachage devrait être considérée comme vulnérable et évitée.

Ces trois caractéristiques font du hachage une bonne méthode pour stocker et vérifier les mots de passe en toute sécurité.

Hachage, stockage des mots de passe et authentification des mots de passe

Lorsque vous créez un nouveau compte en ligne, vous fournissez invariablement un nom d’utilisateur (généralement votre adresse e-mail) et créez un mot de passe. Cela permet au service de savoir qui vous êtes et de vérifier qu’il s’agit bien de vous.

Mais le mot de passe crée un problème délicat pour les fournisseurs de services. Ils ont essentiellement trois options. Ils peuvent stocker votre mot de passe en texte clair, chiffré ou haché.

Il n’est pas nécessaire d’être expert en cybersécurité pour voir les problèmes de stockage des mots de passe en texte clair. Cela permettrait au service d’accéder à votre compte quand il le souhaite, et votre mot de passe serait exposé en cas de violation.

Le chiffrement ne fonctionne pas non plus. Si un service chiffre un mot de passe avec des clés qu’il contrôle, il peut toujours accéder à votre mot de passe à tout moment (et potentiellement l’exposer en cas de violation). Et il ne peut pas chiffrer votre mot de passe avec une clé qu’il ne contrôle pas (une clé sur votre appareil, par exemple), car cela ne permet pas de vérifier que votre mot de passe est correct lorsque vous vous connectez.

Le hachage est un bon compromis. Parce que le hachage est irréversible, les services peuvent stocker votre mot de passe et assurer à leurs utilisateurs qu’ils ne peuvent pas accéder à leurs comptes et que leurs mots de passe seront en sécurité en cas de violation.

Et parce que le hachage est déterministe, un service peut vérifier un mot de passe en comparant les deux valeurs de hachage. Si les valeurs de hachage correspondent, le service sait que les informations d’entrée (les mots de passe) correspondent, même s’il ne connaît pas le mot de passe réel.

C’est un système astucieux, mais le hachage a un problème de prévisibilité. Si vous supposez que l’un des mots de passe les plus courants pour tout service sera « motdepasse ». Avec ces informations, vous pouvez probablement trouver les comptes qui utilisent « password » simplement en regardant les valeurs de hash les plus répétées.

En fait, il existe une cyberattaque dédiée à la cassure des hashes en utilisant les soi-disant tables arc-en-ciel, qui compilent des hashes et tentent de comprendre les règles qui les régissent dans de grandes tables. Elles sont efficaces justement parce que les hashes sont prévisibles.

Salage des mots de passe

Pour minimiser la prévisibilité d’une fonction de hash, les programmeurs utilisent le salage. Le salage est une technique qui prend la fonction de hash prévisible et y ajoute un peu de « saveur » supplémentaire, d’où le terme « sel », sous forme d’imprévisibilité. Un sel est un court ensemble de caractères aléatoires ajouté à chaque mot de passe avant qu’il ne soit hashé.

Ce qui rend un sel spécial, c’est que chacun est unique pour chaque utilisateur. Si vous créez un mot de passe avec un service, il est attribué un sel que personne d’autre ne possède. Si vous changez votre mot de passe, certains services utiliseront un nouveau sel. Cela garantit essentiellement qu’aucun mot de passe (et donc aucune valeur de hachage) ne soit jamais répété tant qu’une nouvelle valeur de sel aléatoire est utilisée pour chaque nouveau mot de passe.

Cela rend la tâche de tout attaquant potentiel beaucoup plus difficile. Leurs tables arc-en-ciel sont inutiles puisque le salage rend les valeurs de hachage imprévisibles. Il ne reste plus qu’à s’assurer que votre mot de passe soit suffisamment aléatoire pour dissuader toute attaque par dictionnaire.

Comment nous sécurisons les mots de passe chez Proton

Chez Proton, nous plaçons la confidentialité et la sécurité de nos utilisateurs au premier plan. Nous n’envoyons jamais votre mot de passe à nos serveurs, en nous appuyant plutôt sur le protocole Secure Remote Password (SRP). SRP permet à un utilisateur de s’authentifier auprès d’un serveur (et vice versa) en prouvant qu’il connaît le mot de passe sans partager le mot de passe lui-même ou toute information qu’un attaquant pourrait utiliser pour dériver le mot de passe (comme une somme de hachage, par exemple). Votre mot de passe reste sécurisé sur votre appareil.

En savoir plus sur l’utilisation de SRP par Proton

Nous utilisons des techniques de hachage et de salage, mais pour vos clés de compte. Une fois que vous vous êtes connecté avec succès, Proton envoie les clés de votre compte à votre client. Votre client sale et hache ensuite votre mot de passe à l’aide de bcrypt et utilise la valeur de hachage résultante comme clé pour déchiffrer la clé de votre compte. Une fois la clé de votre compte déchiffrée, elle peut alors être utilisée pour accéder à vos courriels, calendriers, etc. Ce processus se déroule localement sur votre appareil donc votre mot de passe et le hachage ne le quittent jamais.

Vous pouvez étendre ce niveau de protection à vos autres comptes également avec Proton Pass, notre gestionnaire de mots de passe chiffré de bout en bout.

Comme vous pouvez le lire dans notre analyse complète du modèle de sécurité de Proton Pass, nous chiffrons de bout en bout vos mots de passe individuellement ainsi que les coffres où vous les stockez, empêchant quiconque, y compris nous, de voir vos éléments à tout moment du processus de transfert.

Nous pouvons offrir ce type de sécurité améliorée parce que nous sommes entièrement financés par vous, nos utilisateurs. Sans actionnaires ni investisseurs en capital-risque à satisfaire, nous pouvons nous concentrer sur le développement d’outils offrant le meilleur en matière de sécurité et d’ergonomie, sans réduire les coûts ni faire de compromis.
Le résultat est un service qui vous place en premier, que ce soit en offrant la meilleure technologie de chiffrement ou une interface de premier ordre. Si cela correspond à ce que vous souhaitez, rejoignez Proton Pass dès aujourd’hui.

Protégez votre vie privée avec Proton
Créer un compte gratuit

Articles similaires

Proton Wallet
QUELLE SÉCURITÉ OFFRE PROTON WALLET ? Notre vision à long terme est que Proton Wallet devienne un portefeuille numérique qui vous donne le contrôle total de vos actifs numériques. Bien que le type d’actifs que vous pouvez détenir dans Proton Wallet
  • Guides vie privée
Bitcoin est un réseau de paiement innovant qui utilise les transactions pair-à-pair pour éliminer le besoin d’une banque centrale. Bitcoin a révolutionné les principes fondamentaux de l’échange de valeur en montrant qu’un réseau de nœuds entièrement
Proton Wallet est un portefeuille d’actifs numériques qui prend actuellement en charge l’auto-gardiennage de Bitcoin sur la chaîne. Dans cet article, nous passons en revue les principales fonctionnalités et l’architecture de sécurité qui font de Prot
proton scribe
La plupart d’entre nous envoient des e-mails tous les jours. Trouver les bons mots et le ton adéquat peut cependant prendre beaucoup de temps. Aujourd’hui, nous vous présentons Proton Scribe, un assistant d’écriture intelligent et axé sur la confiden
Les personnes et les entreprises sont généralement soumises aux lois du pays et de la ville où elles se trouvent, et ces lois peuvent changer lorsqu’elles déménagent. Cependant, la situation devient plus compliquée lorsqu’on considère les données, qu
Vos données en ligne ne sont plus seulement utilisées pour des publicités, mais aussi pour entraîner l’IA. Google utilise des informations disponibles publiquement pour entraîner ses modèles d’IA, ce qui suscite des inquiétudes quant à savoir si l’IA