Honeyword : faux mot de passe, vraie bonne idée !

FONDS036

Inutile me semble-t-il de revenir en détails sur le maillon faible que représentent aujourd’hui les mots de passe dans la chaîne de sécurité informatique…De nombreux exemples récents ayant clairement montré qu’il était temps de se pencher sérieusement sur le problème.

On connait bien les réticences des internautes à l’utilisation de mots de passe complexes (ou long…) bien que cela soit seule protection de leurs comptes en ligne et malgré l’existence de solutions simples et gratuites (comme par exemple : Norton Identity Safe)

Les attaques de plus grande ampleur, visant l’accès à des milliers ou des millions de mots de passe s’appuyent sur des méthodes différentes mais bien connues telles que l’injection SQL. A noter à ce propos un document de l’OWASP (Open Web Application Security Project) qui la place première des methodes d’attaques utilisées contre les applications web (OWASP Top 10 ).

Une fois le fichier des “hashs” de mots de passe récupéré, le temps nécessaire à l’obtention des mots de passe en clair n’est qu’une question de moyens mis en oeuvre (Brute Force, Rainbow Tables…). Les mots de passe obtenus vont alors servir aux attaquants à se connecter sur les infrastructures cibles…

Et c’est là qu’un document publié récemment par des chercheurs du MIT (Ari Juels et Ronald Rivest, le “R” de RSA…) propose une approche intéressante, via les HONEYWORDS :

Créer 2 mots de passe, le vrai et un faux, dont l’utilisation pour l’accès à un système sera détectée comme une tentative d’intrusion !
Voici le lien vers le document in-extenso et un court extrait :

Honeywords: Making Password-Cracking Detectable

“We suggest a simple method for improving the security of hashed passwords: the maintenance of additional \honeywords” (false passwords) associated with each user’s account. An adversary who steals a file of hashed passwords and inverts the hash function cannot tell if he has found the password or a honeyword. The attempted use of a honeyword for login sets o an alarm. An auxiliary server (the \honeychecker”) can distinguish the user password from honeywords for the login routine, and will set an alarm if a honeyword is submitted.”

Bien sûr, un certain nombre de problèmes restent à résoudre (section 9 – Open Problems) avant une mise en application concrète, mais l’idée semble prometteuse….. et puis c’est le MIT, alors bon, quand même !!!