Qu’est-ce que Peppering dans la sécurité des mots de passe et comment ça marche ?
Peppering n’est pas seulement un mot relatif aux capacités culinaires; il s’agit en outre d’une procédure de cryptographie importante pour la sécurité des mots de passe. Il est nécessaire que les mots de passe soient conservés en toute sécurité contre les attaques des cyberpunks. Peppering aide à le faire. Qu’est-ce que le poivre et comment aide-t-il à maintenir la sécurité de vos mots de passe ?
Qu’est-ce que le poivre ?
Peppering est une procédure cryptographique qui consiste à ajouter une chaîne secrète et aléatoire de personnalités à un mot de passe avant qu’il ne soit salé et haché pour le rendre plus sûr. La chaîne de personnalités incluse dans le mot de passe s’appelle un piment. Le piment modifie complètement le hachage d’un mot de passe et le rend insensible aux frappes par force brute et au piratage de mot de passe en utilisant des tables de dictionnaire et des tables arc-en-ciel.
Comment fonctionne le poivre ?
Peppering est une couche supplémentaire de sécurité ajoutée aux mots de passe. Considérez-le comme différentes garnitures sur un gâteau. Le gâteau simple est un mot de passe en texte clair et le hachage est également la garniture finale – disons, les sprays. Si vous mettez des sprays directement sur le gâteau, ça n’aurait pas l’air très bien. C’est la même chose avec la protection par mot de passe.
Le simple hachage d’un mot de passe n’est pas sécurisé car le mot de passe peut facilement être divisé. C’est pourquoi les autres garnitures, sel et aussi poivre (paradoxalement), rendent le gâteau meilleur – car ils finissent par des mots de passe
Alors, qu’est-ce que cela suggère en fait pour qu’un mot de passe soit haché? Le hachage est un processus de sécurité à sens unique en cryptographie. Les mots de passe hachés sont principalement escaladés et au lieu de stocker les mots de passe en clair dans une source de données, les hachages sont conservés. Lorsque vous entrez votre mot de passe, il est haché puis comparé au mot de passe haché dans la source de données. C’est ainsi que le système vérifie votre identité.
Tout comme le salage, un piment est ajouté à un mot de passe pour le rendre encore plus sûr. Ainsi, un mot de passe est transformé d’un simple mot de passe en clair au hachage d’un mot de passe + sel + poivre. Ainsi à l’occasion où un cyberpunk aurait accès aux sels et/ou même aux mots de passe des individus, le cyberpunk serait certainement incapable de déchiffrer le mot de passe haché du fait que le piment altère entièrement le hachage.
Par exemple, comparez le hachage d’un mot de passe simple, d’un mot de passe salé et d’un mot de passe poivré. Permettez au mot de passe d’être ‘1yAm0r1a!’, le sel ‘eW3dU%’, et aussi le poivre ‘Am41a?’.
Texte du mot de passe | Mot de passe haché | |
Mot de passe en clair | 1yAm0r1a ! | c 243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
Mot de passe salé | 1yAm0r1a ! eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
Mot de passe poivré | 1yAm0r1a ! eW3dU% Am41a? | fb 33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Un poivre peut-il être utilisé sans sel ?
Oui, un mot de passe peut être utilisé sans sel. Mais ce n’est pas excellent pour la sécurité des mots de passe. Si un adversaire connaît le piment d’un site, ce site Web finit par être vulnérable aux agressions, car le piment est utilisé pour tous les mots de passe de la source de données.
Quelle est la différence entre poivrer et saler ?
En un sens, un poivre est une sorte de sel. Ils rendent tous les deux les mots de passe beaucoup plus sûrs et sécurisés, mais ils sont différents. Contrairement aux sels, les poivres sont secrets, à l’échelle statique et non générés de manière aléatoire.
Les poivrons ne sont pas générés au hasard
Lorsque vous vous connectez à un site Web et que vous saisissez votre mot de passe, avant qu’il ne soit haché, un sel est arbitrairement créé pour vous. Ce n’est pas exactement la même chose avec le poivre.
Dans le poivre, le propriétaire du site Web cueille le poivre. Le propriétaire du site est chargé de garantir que le poivre choisi est sûr et suffisamment fort. Certes, le propriétaire du site peut choisir d’utiliser un générateur de valeur aléatoire pour choisir un piment.
Les poivrons sont statiques
Quand quelque chose est fixe, cela implique qu’il ne se transforme pas. Dans le salage, chaque sel est créé pour chaque client de la base de données. Pourtant, un poivre est utilisé dans toute la source de données. Il n’y a pas de poivrons pour les utilisateurs individuels.
Les poivrons sont gardés secrets
Contrairement aux sels que l’on peut découvrir dans la base de données d’un site, les piments sont secrets. Ils ne sont pas conservés dans la base de données avec les sels et les hachages ; cela rendrait certainement les poivrons inutiles.
Au lieu de cela, les poivrons sont enregistrés dans un composant protégé et séparé de l’application du site. Ceci est très important car à l’occasion qu’un cyberpunk met en danger un site et obtient l’accès aux mots de passe et aux sels des individus sur ce site, il n’aurait pas la possibilité de diviser les mots de passe du fait qu’il ne reconnaît pas le poivre.
Choisir un bon poivre
Choisir un bon poivre est aussi vital que choisir un excellent mot de passe. Tout comme les mots de passe, les poivrons doivent être raisonnablement longs et spéciaux. Gardez à l’esprit qu’un piment est utilisé sur tout le site Web; si un pirate informatique force ou intuitionne le poivre, votre site serait certainement en danger. N’utilisez pas le nom de votre site Web comme un piment. C’est l’équivalent d’utiliser « Password123 » comme mot de passe.
Une autre option consiste à utiliser un générateur de mot de passe. Il existe de nombreux générateurs de mots de passe en ligne qui pourraient être utilisés pour choisir un bon piment.
Une autre approche du poivrage consiste à ne pas conserver le piment du tout. Au lieu de cela, le poivron est une chaîne courte et lorsqu’un utilisateur se connecte au site, le système se renforce ou parcourt une collection de poivrons possibles jusqu’à ce que le meilleur soit utilisé. Cela prend plus de temps, donc un bref poivre doit être utilisé.
Un exemple simple mais non sécurisé de cette méthode consiste à indexer le poivre. Lors de votre visite, le site parcourt chaque lettre de l’alphabet – minuscules et majuscules – jusqu’à ce que le piment soit correct.
Bien qu’il soit courant d’utiliser un poivre sur un site Web, il est possible d’en avoir plusieurs à la fois. Un piment est attribué arbitrairement à un utilisateur lors de son inscription parmi un groupe de piments. Lorsque cet utilisateur se connecte, chaque piment est tenté jusqu’à ce que celui attribué à ce client soit choisi.
Le Peppering est-il efficace pour renforcer la sécurité ?
Oui. Lorsqu’un poivre est utilisé avec un sel, il est extrêmement difficile pour un pirate informatique de déchiffrer le mot de passe d’un client. De plus, lorsque les utilisateurs utilisent des mots de passe faibles ou exactement les mêmes mots de passe, un pirate ne le saura jamais car le piment transforme le hachage. Avec le peppering, la protection des mots de passe est considérablement renforcée.