| Exemple de la Table Arc-en-ciel | |
|---|---|
| Plaintext | Somme de contrôle SHA-1 |
| 12345 | 8cb2237d0679ca88db6464eac60da96345513964 |
| mot de passe1 | e38ad214943daad1d64c102faec29de4afe9da3d |
| ilovemydog | a25fb3505406c9ac761c8428692fbf5d5ddf1316 |
| Jenny400 | 7d5eb0173008fe55275d12e9629eef8bdb408c1f |
| dallas1984 | c1ebe6d80f4c7c087ad29d2c0dc3e059fc919da2 |
Un hacker doit savoir quel algorithme de hachage cryptographique a été utilisé pour générer les sommes de contrôle afin de déterminer les valeurs.
Pour une protection accrue, certains sites web qui stockent les mots de passe des utilisateurs exécutent des fonctions supplémentaires sur l’algorithme de hachage cryptographique après que la valeur soit générée mais avant qu’elle ne soit stockée. Ce processus produit une nouvelle valeur que seul le serveur web comprend et qui ne correspond pas à la somme de contrôle d’origine.
Par exemple, après avoir saisi un mot de passe et généré la somme de contrôle, il peut être séparé en plusieurs parties et réorganisé avant d’être stocké dans la base de données des mots de passe, ou certains caractères peuvent être échangés avec d’autres. Lors de la prochaine tentative d’authentification de l’utilisateur, le serveur web inverse cette fonction supplémentaire et la somme de contrôle initiale est à nouveau générée pour vérifier que le mot de passe de l’utilisateur est valide.
Ces mesures limitent l’utilité d’un hack où tous les montants de contrôle sont volés. L’idée est de réaliser une fonction inconnue, donc si le pirate connaît l’algorithme de hachage cryptographique mais pas l’algorithme personnalisé, alors la connaissance des sommes de contrôle des mots de passe n’est pas utile.
Contenu
Mots de passe et fonctions de hachage cryptographique
Une base de données enregistre les mots de passe des utilisateurs d’une manière similaire à une table arc-en-ciel. Lorsque votre mot de passe est saisi, la somme de contrôle est générée et comparée à celle enregistrée avec votre nom d’utilisateur. Vous pouvez alors y accéder si les deux sont identiques.
Étant donné qu’une fonction de hachage cryptographique produit une somme de contrôle non réversible, est-il sûr pour vous de rendre votre mot de passe aussi simple que 12345au lieu de 12@34$5simplement parce que les sommes de contrôle elles-mêmes ne peuvent pas être comprises ? Non, et voici pourquoi.
Ces deux mots de passe sont impossibles à déchiffrer en se contentant de regarder les sommes de contrôle :
MD5 pour 12345 : 827ccb0eea8a706c4c34a16891f84e7b
MD5 pour 12@34$5 : a4d3cc004f487b18b2ccd4853053818b
À première vue, vous pouvez penser qu’il est bon d’utiliser l’un ou l’autre de ces mots de passe. C’est vrai si un attaquant a essayé de trouver votre mot de passe en devinant la somme de contrôle MD5, ce que personne ne fait, mais ce n’est pas vrai si une attaque par force brute ou par dictionnaire est effectuée, ce qui est une tactique courante.
Une attaque par force brute se produit lorsque plusieurs coups de poignard sont donnés au hasard pour deviner un mot de passe. Dans ce cas, il serait facile de deviner 12345mais il est assez difficile de déterminer l’autre au hasard. Une attaque par dictionnaire est similaire en ce sens que l’attaquant peut essayer chaque mot, nombre ou phrase d’une liste de mots de passe courants (et pas si courants), et 12345 est l’un de ces mots de passe courants.
Même si les fonctions de hachage cryptographique produisent des sommes de contrôle difficiles à deviner, vous devriez quand même utiliser un mot de passe complexe pour tous vos comptes d’utilisateur en ligne et locaux.
Plus d’informations sur les fonctions de hachage cryptographique
On pourrait croire que les fonctions de hachage cryptographique sont liées au cryptage, mais les deux fonctionnent de manière différente.
Le cryptage est un processus à double sens dans lequel quelque chose est crypté pour devenir illisible, puis décrypté plus tard pour être utilisé normalement à nouveau. Vous pouvez chiffrer les fichiers que vous avez stockés de manière à ce que toute personne qui y accède ne puisse pas les utiliser, ou vous pouvez utiliser le chiffrement de transfert de fichiers pour chiffrer les fichiers qui se déplacent sur un réseau, comme ceux que vous téléchargez ou chargez en ligne.
Les fonctions de hachage cryptographique fonctionnent différemment en ce sens que les sommes de contrôle ne sont pas censées être inversées par un mot de passe spécial de hachage. Le seul objectif des fonctions de hachage cryptographique est de comparer deux données, par exemple lors du téléchargement de fichiers, du stockage de mots de passe et de l’extraction de données d’une base de données.
Il est possible qu’une fonction de hachage cryptographique produise la même somme de contrôle pour différentes données. Lorsque cela se produit, on parle de collision, ce qui est un énorme problème, étant donné que le but d’une fonction de hachage cryptographique est de faire des sommes de contrôle uniques pour chaque donnée qui y est entrée.
Les collisions peuvent se produire parce que chaque fonction de hachage cryptographique produit une valeur d’une longueur fixe indépendamment des données d’entrée. Par exemple, la fonction de hachage cryptographique MD5 génère 827ccb0eea8a706c4c34a16891f84e7b, 1f633b2909b9c1addf32302c7a497983, et e10adc3949ba59abbe56e057f20f883e pour trois blocs de données totalement différents.
La première somme de contrôle est de 12345. La deuxième a été générée à partir de plus de 700 lettres et chiffres, et la troisième à partir 123456. Les trois entrées sont de longueurs différentes, mais les résultats ne comportent toujours que 32 caractères depuis que la somme de contrôle MD5 a été utilisée.
Il n’y a pas de limite au nombre de sommes de contrôle qui pourraient être créées car chaque petite modification de l’entrée est censée produire une somme de contrôle complètement différente. Comme il y a une limite au nombre de sommes de contrôle qu’une fonction de hachage cryptographique peut produire, il y a toujours la possibilité de rencontrer une collision.
C’est pourquoi d’autres fonctions de hachage cryptographique ont été créées. Alors que MD5 génère une valeur de 32 caractères, SHA-1 génère 40 caractères et SHA-2 (512) en génère 128. Plus le nombre de caractères de la somme de contrôle est élevé, moins il y a de chances qu’une collision se produise.
