Sécurité des mots de passes
Commençons par quelques notions de bases sur la sécurité des mots de passes. Il faut comprendre que c'est pas votre petit ! rajouté devant votre date de naissance qui fait de votre mot de passe en mot de passe fort. Voici un ordre d'idée du temps (a peu près) que ca met pour les mots de passe sur du Yescrypt qui est l'algorithme utilisé par la plus part des sytèmes linux pour stocker les mots de passes /etc/shadow :
- RTX 3070 ~50 KH/s (50 000 hachages/sec)
- RTX 5090 ~200 KH/s (200 000 hachages/sec)
- AX100 (hyp.) ~1 MH/s (1 000 000 hachages/sec)
| Longueur | Possibilités (Min+Maj+Chiffres+Spéciaux) | RTX 3070 | RTX 5090 | AX100 |
|---|---|---|---|---|
| 6 | 72⁶ ≈ 200 milliards | 40 min | 10 min | 2 min |
| 7 | 72⁷ ≈ 14 trillions | 3 jours | 18 heures | 4 heures |
| 8 | 72⁸ ≈ 1 quadrillion | 8 mois | 2 mois | 15 jours |
| 9 | 72⁹ ≈ 100 quadrillions | 50 ans | 12 ans | 2 ans |
| 10 | 72¹⁰ ≈ 7 quintillions | 4000 ans | 1000 ans | 200 ans |
| 11 | 72¹¹ ≈ 500 quintillions | 300 000 ans | 75 000 ans | 15 000 ans |
| 12 | 72¹² ≈ 36 sextillions | 20 millions d’années | 5 millions d’années | 1 million d’années |
Imaginez que j'en ai plusieurs maintenant pour séparer les tâches vous croyez que ca prendrait combien de temps ? :)
En plus de ça la on parle que d'attaque par force brute (test tout de manière complètement aléatoire), mais on peut aussi attaquer par dictionnaire (via des listes de mots très très longues) qui se base sur des patterns logiques :
- Mots de passes ayant déjà fuités
- Date de Naissance
- Nom Prénom
- Entourage
- Lieu de Vie
- Animaux de Compagnies
- Etc...
Ici c'est pas 20 millions d'années mais 20 minutes qu'il va falloir mdr.
C'est pour ça qu'il faut toujours générer des mots de passe aléatoires avec toutes la complexité possible (aZ9!) et à rallonge (25 chars~). J'admets que c'est impossible de les retenir mais c'est pour ça qu'il existe différentes manières de les stocker.
Vérifier les leaks
Outils
Vous avez pleins d'outils disponibles pour vérifier les brèches de données disponibles dans la première partie.
Google Dorks
Cherchez à travers des filtres google sur des sites spécifiques ça pourrait vous aider à en trouver ex : site:x.com "SuperP@ssword"
Dark Web
Allez chercher sur les Forums comme Dread ou BreachForums pour voir si vos données sont quelqueparts. Voir sur les forums non modérés mais je vous y incite vraiment pas ils bien chelou et le contenu est ignoblement abominable.
Stockage Des Mots de Passe
Les solutions pour stocker vos mots de passes sont diverses et variées mais on va faire un tri dans tous ce merdier pour proposer des solutions alternatives.
La meilleure : Stocker sur papier
Si vous êtes consciencieux et que vous ne mettez pas ce papier a la vue de tous ou en contact d'appareils de diffusions il devrait pas y avoir de soucis. Mais bon question rapidité c'est vite chiant
KeePassXC
KeePassXC est un programme de gestion de mot de passe en local. Tout est stocké sur votre ordinateur et déconnecté d'internet dans des database KDBX. Vous pouvez aussi générer des mots de passes sur l'outil en question. J'ai rien à redire dessus, le seule inconvégnent c'est que la base de donnée n'est accessible que depuis votre ordinateur.
Solution Technique : Héberger sur un VPS
Vous pouvez héberger vos mots de passes sur un VPS accessible en public seulement par connexion ssh (changez le port par défault par exemple : 8964) mettez un mot de passe robuste puis récupérez les par des requêtes curl ou simplement scp.
Mais ça va vous demander quelques compétences en informatique pour gérer tout ça.
Clés Physiques
Les clés physique vous permettent de stocker un certain nombres de mots de passes chiffrés. Et selon la clé vous pouvez en stocker plus ou moins avec plus ou moins de protections mises en place sur les clés en question.
Yubikey
Les yubikey sont des clés qui permettent de stocker et tappez vos mots de passes une fois qu'elles sont branchées. Vous pouvez visiter leur site ici : YubiKey, ils offre une large gamme de clés différentes. Y'a même des sécurités biométriques qui peuvent être mises en place, si c'est déconnecté d'internet ça peut être une bonne chose.
Onlykey
Les OnlyKey c'est un peu la même chose sauf qu'elle permette de pouvoir tapper plusieurs mots de passes différents grâce à différents boutons sur la clé.
Nitrokey
Je m'y connais moins concernant celles-ci mais elles semble être une bonne solution open-source, le seul problème c'est que le firmware est accessible via internet pour la gestion des mises à jour, voici leur site : NitroKeys Products
RubberDuKey
Ici c'est une solution un peu plus technique qui va vous demander des compétences de programmeur/soudeur, vous pouvez acheter un Raspberry Pi Pico et le programmer avec Micropython pour se comporter comme une RubberDucky, il pourra tapper vos mots de passes que vous aurez enregistrés dedans. J'ai fait un article pour savoir comment commencer à en créer une même si là c'est plus orienté pentest le principe est le même.