Quand un système de connexion fournit de faux mots de passe aux pirates

Une équipe de chercheurs a développé un système qui rend beaucoup plus difficile pour les pirates de hacker des mots de passe utilisables à partir d’une base de données divulguée, ce qui pourrait aider à atténuer les dommages causés par un piratage de données.

Le système est décrit dans un document de recherche qui a été soumis pour examen à la Conférence annuelle sur les applications de sécurité informatique de 2015, qui se tiendra à Los Angeles en décembre.

Appelé ErsatzPasswords, le système vise à rejeter les pirates informatiques qui utilisent des méthodes pour « cracker » les mots de passe, a déclaré Mohammed H. Almeshekah, un étudiant au doctorat à l’Université Purdue en Indiana.
Les hackers « seront toujours en mesure de cracker ce fichier, mais les mots de passe qu’ils vont récupérer sont de faux mots de passe ou des mots de passe leurres », a déclaré Almeshekah.

Les mots de passe sont généralement cryptés lorsqu’ils sont stockés par des organisations. Les mots de passe sont cryptés à l’aide d’un algorithme et cette sortie, appelée hash, est stockée.

Les hachages sont considérés comme plus sûrs à stocker que les mots de passe en texte brut. Il est difficile, mais pas impossible, de trouver un mot de passe en texte brut à partir d’un hachage.

Pour ce faire, les pirates utilisent des techniques de force brute, ce qui implique de créer des listes de mots qui pourraient être des mots de passe possibles et de calculer leur hachage pour voir si une correspondance est trouvée. C’est un travail qui demande beaucoup de temps et de calcul.

Pour réduire ce temps, les hackers utilisent des programmes tels que John the Ripper, qui peut s’appuyer sur de grandes listes de mots de passe provenant de différentes violations de données dont les hachages ont déjà été calculés. Ces listes s’allongent de jour en jour et comme de nombreux utilisateurs ne choisissent pas de mots de passe compliqués, cela accélère le travail des pirates informatiques.

Lorsqu’un nouveau mot de passe est créé pour un service sur un système Linux, une valeur aléatoire appelée « salt » est ajoutée avant d’être cryptée et le hash est stocké.

ErsatzPasswords ajoute une nouvelle étape. Avant qu’un mot de passe ne soit chiffré, il est exécuté par une fonction dépendante du matériel, telle que celle générée par un module de sécurité matérielle, a déclaré Almeshekah.

Cette étape ajoute une caractéristique à un mot de passe qui rend impossible de le restaurer à son texte brut précis sans accès au module, a-t-il dit.

ErsatzPasswords exerce un peu de contrôle sur le sel qui est ajouté au mot de passe afin que ce qui sort du module de sécurité du matériel ressemble à un mot de passe, même s’il est faux, a déclaré Almeshekah.

Le résultat est que si un pirate commence à obtenir des correspondances sur une liste de hachages, tous les mots de passe ne fonctionneront pas. Le hacker ne le sait pas nécessairement jusqu’à ce qu’il ou elle les a essayés pour accéder à un service.

Les services Web sont généralement conçus pour couper les gens après un certain nombre de suppositions erronées, bien que ErsatzPasswords puisse être configuré pour alerter un administrateur lorsqu’un faux mot de passe est entré. Il peut également être configuré pour créer automatiquement un faux compte quand un faux mot de passe est entré, permettant à un administrateur de voir ce que la personne essaie de pirater, a déclaré Almeshekah.

La beauté est sur le côté serveur car un seul fichier de mot de passe doit être stocké. « Même si nous voulons vérifier le vrai mot de passe, nous n’avons pas besoin d’un fichier différent », a déclaré Almeshekah.

Almeshekah a indiqué que les chercheurs ont utilisé un module de sécurité matérielle assez bon marché de Yubico appelé YubiHSM qui coûte environ 500 dollars américains. Pour un grand nombre d’utilisateurs, un type de module de sécurité matériel plus avancé serait nécessaire pour de meilleures performances, ce qui pourrait coûter 10,00 $ et plus, a-t-il ajouté.

Mais configurer ErsatzPasswords du côté serveur est assez facile, dit-il, et le code est disponible sur GitHub. C’est gratuit et est publié sous une licence Open Source Apache.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage