(Très) Chers mots de passe

Ludovic d Anchald Dominique Blas (Très) Chers mots de passe 1

Mots valise L utilisateur face à la fuite des mots de passe. La «force» d un mot de passe, c est quoi? Performances dans le cracking de mots de passe. La solution magique! Quelques recommandations fortes. 2

Fuites régulières de bases de mots de passe juin 2012 : 7 M chez Last.fm juin 2012 : 6,5 M SHA1 chez LinkedIn juillet 2012 : 450 k chez Yahoo CN octobre 2013 : 130 M chez Adobe! août 2014 : 1,2 milliard de comptes (y compris n CB PCI-DSS ) sur l ensemble du Web. janvier 2015 : nombreuses fuites de données non identifiées lors des défigurations de sites français. En général suivent 2 ou 3 conseils : changez votre mot de passe (ou réinitialisation d autorité) ; changez vos autres mots de passe (ceux d autres sites) et durcissez vos mots de passe! Pourquoi donc la fuite de mdp est-elle un tel souci? Alors même que ces mdp ne sont pas stockés en clair? Pourquoi l utilisateur (entreprise, Internet) est-il ainsi systématiquement culpabilisé jusqu à impliquer l ensemble de son portefeuille de mdp? Mots en l air 3

La fuite du mot de passe n est C est, Les mots secouent PAS de la responsabilité de l utilisateur. celle du gestionnaire de la base (site web, infrastructure d entreprise) : o il n a pas pris toutes les précautions afin d éviter cette fuite ; celle du concepteur de la base : o il n a pas utilisé tous les moyens techniques pour rendre une base fuitée inutilisable. En conséquence, l utilisateur, ne devrait JAMAIS être impliqué en aucune façon dans une telle fuite! 4

Mots lâchés Les conséquences d une fuite peuvent être graves : nécessité de révéler image dégradée clientèle suspicieuse pertes financières ; usurpation d identité clientèle soupçonnée juridique dégradation de l image, pertes financières, etc. D où l importance de l analyse de risques en amont. 5

Jouons un peu à estimer cette force (faible/fort?) : medicale dklfr9 MeDiCaLe MeLoDiCa MéDiCaLe jesuisleplusfortdetousvousvousendoutez MéDiCaLe0- fdl34jjfjd D=B2-4ac Mots forts Qu est que la force d un mot de passe? Cas du code secret de la CB Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" 6

1 ère estimation : sites spécialisés Mots lestés http://www.passwordmeter.com o Calcul mécanique basé sur le nombre de symboles, leur diversité (classes de caractères), la proximité entre symboles d une même classe. https://howsecureismypassword.net/ o Calcul orienté attaquant et fournissant le temps maximum mis par un PC de bureau pour découvrir le mdp (à raison de 4 milliards d opérations par seconde). 7

Mots roi Résultats Mot de passe témoin Passwordmeter HSIMP medicale dklfr9 MeDiCaLe MeLoDiCa MéDiCaLe jesuisleplusfortdetousvousvousendoutez MéDiCaLe0- fdl34jjfjd D=B2-4ac Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" «Force» Jugement Temps max pour trouver Très faible Faible Faible Bon Fort Faible Très fort Fort Très fort Très fort 52 secondes ½ seconde 3 heures 3 heures 1 an 4,6 10 36 ans 169 000 ans 6 ans 3 jours 1,6 10 60 ans 8

Mots lyre 2 ème estimation : basée sur l «entropie». Mesure de la variabilité, du désordre : o nb permutations traduit en base 2 (bit) une indication du temps maximum nécessaire pour une attaque de front ; o issue de la théorie de l information bande passante du canal. Basée sur les classes de symboles utilisées a priori subjectif. Mot de passe témoin Règle Entropie medicale 8 symboles sur 26 38 bits dklfr9 6 symboles sur 36 31 bits MeDiCaLe / MeLoDiCa 8 symboles sur 52 46 bits MéDiCaLe 8 symboles sur 71 49 bits jesuisleplusfortdetousvousvousendoutez 38 symboles sur 26 179 bits MéDiCaLe0-8 symboles sur 109 54 bits fdl34jjfjd 10 symboles sur 62 60 bits D=B2-4ac 8 symboles sur 80 51 bits Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" 39 symboles sur 90 253 bits 9

3 ème estimation : basée sur la probabilité d occurrence d un symbole fonction des précédents dans le mot. C est la notion d entropie statistique définie par Shannon (en s appuyant sur la langue anglaise). Théorie plus récente des modèles de Markov. Basée ici sur un jeu de symboles comprenant 37 caractères (cf NIST SP800 63-2 annexes A.2 et A.3). Mot de passe témoin medicale Mots d elle Entropie 20,4 bits dklfr9 31 bits Pas devinable entropie brute MeDiCaLe / MeLoDiCa MéDiCaLe 26,4 bits 32 bits jesuisleplusfortdetousvousvousendoutez 179 bits Passphrase MéDiCaLe0-54 bits Entropie brute fdl34jjfjd 60 bits Entropie brute D=B2-4ac 51 bits Entropie brute Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" 253 bits Entropie brute 10

4 ème estimation : via dictionnaire L usage d un dictionnaire peut réduire fortement l entropie brute voire l entropie statistique «Shannon», o car, au lieu d une entropie par symbole pris dans une liste, on a affaire à une entropie par mot pris dans une liste. Certes, il y a des variantes (majuscules, 3l33t, accent) et des extras (symboles ajoutés au début et/ou à la fin). Ainsi : o medicale 1 mot et 22 bits. o médicale 1 mot et 22 bits (même dictionnaire). jesuisleplusfortdetousvousvousendoutez 11 mots 110, 193 bits ou 284 selon le dictionnaire (de 1 000 à 200 000 mots). Notion de dictionnaire dépassée, on parle de liste (wordlist): o wordlist langue, de noms propres, de pseudos utilisés sur tel ou tel réseau social, wordlist spécialisé en science, médecine, pornographie, mathématique, etc. Mots faibles 11

Mots dire Synthèse Password meter HSIMP Entropie brute Entropie Shannon Dictionnaire medicale dklfr9 MeDiCaLe MeLoDiCa MéDiCaLe jesuisleplusfortdetousvousvousendoutez MéDiCaLe0- fdl34jjfjd D=B2-4ac Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" 12

Je uis Charlie» Mots-clés Dans les faits jesuisleplusfortdetousvousvousendoutez est effectivement le plus fort en tant que mdp mémorisable. Les logiciels d attaque par dictionnaire connus ne tentent pas, à ce jour, de construire des phrases (ils n appliquent pas de modèles de Markov à la composition de mots). Les wordlists contiennent, outre des mots, des expressions toutes faites (proverbes, maximes, etc) et leurs variantes (majuscules, espaces, etc). Ainsi, désormais, «et ses variantes en font partie à oublier en tant que passphrase! D=B2-4ac est intrinsèquement plus fort mais moins facilement mémorisable (sauf pour qui aime les formules) C est toutefois une formule mathématique connue qui peut donc se retrouver dans des wordlists orientés formules mathématiques ; ce qui relativise sa «force». Ky$*sd%1kLmgf2};[0uAD:?e4&=+<@{#]^[/>!" est indéniablement le plus fort et résistera à toutes les attaques via référentiel mais il n est absolument pas mémorisable coffre-fort. Intérêt d un mdp de 253 bits d entropie? Ne pas fragiliser une clé de 256 bits lorsque cette clé est construite par dérivation du mdp comme dans TrueCrypt ou avec PBKDF2 utilisée dans WPA/WPA2. 13

Le caractère prédictif (humain donc) d un mdp est donc rédhibitoire : il facilite les différentes attaques par o dictionnaire, o application de modèles markoviens ; n imaginez pas y échapper en utilisant une autre langue, un autre alphabet : des dictionnaires russes, coréens, ukrainiens, chinois et thaïlandais existent (ou se fabriquent facilement)! Solution? Mots râlent Des mdp aléatoires (ou pseudo-aléatoires) qui ne sont pas générés par un être humain. Autre chose comme : mdp graphique, figure géométrique (Android), mdp à usage unique, matrices, test inverse de Turing : o nécessite d adapter les interfaces d ouverture de session (GINA pour MS-Windows). 14

Au final, qu est ce que la Force d un mdp? Nouvelle définition proposée : Un mot de passe fort est un mot de passe susceptible de résister aux attaques connues et ce durant sa durée de vie. Dans le cas contraire, il est faible. Sa durée de vie? Les mots me manquent 90 jours, 60 jours, 30 jours ou la journée selon vos pratiques. Ce qui nous conduit aux menaces pesant sur les mots de passe. 15

Mots laids Les menaces sur les mots de passe Attaque du mot de passe individuel : lecture par-dessus l épaule ; écoute (dispositif local ou distant [clavier sans-fil ou filaire]) ; prise d empreintes digitales puis analyse entropique. Attaques au travers du référentiel (plus économique) : attaque de front sur le référentiel ; attaque par dictionnaire, modèles markoviens sur le référentiel. Concentrons-nous sur les attaques de front via référentiel. La définition devient : Un mot de passe fort est un mot de passe susceptible de résister aux attaques connues via référentiel et ce, durant sa vie. Dans le cas contraire, il est faible. dklfr9 peut devenir un mot de passe FORT. Promis! 16

Mot mie Comment ça fonctionne? Les techniques utilisées pour les attaques De front (brute force ou mode incrémental), via dictionnaires, via entropie (Markov). Les moyens utilisés pour les attaques John The Ripper (JTP), hashcat et oclhashcat ; différentes fonctions de parcours : incrément, wordlists, Markov ; + des wordlists et des règles (rules, mask attacks). Méthode de stockage répandue du mdp : la prise d empreinte (le hash) hash : transformation à sens unique ; oblige le module de contrôle de l authentification (et donc le craqueur) à exécuter l algorithme pour vérification d exactitude ; certaines fonctionnalités utiles (le SSO par exemple) stockent le hash en mémoire du poste de travail. 17

Mots town Algorithmes les plus utilisés : MD5, SHA1, SHA256 sous Unix, NTLM (v1, v2) pour l AD, PBKDF2 et SHA1 pour le WPA/WPA2 (WiFi). C est essentiellement du calcul du calcul sur de grandes masses (les référentiels de mdp) ; le calcul massivement parallèle devient pertinent ; GPU inclus dans les cartes graphiques. 18

Transformations Mot compte double CPU Desktop E5800 2-core (1 seul thread) CPU AMD (*) 8-core Avec 8 threads 1 ATI HD7970 8x ATI R9 290X MD5 7 M 80 M 9 G 90 G SHA1 5 M 70 M 3 G 30 G SHA256 2 M - 1 G 12 G SHA512 700 k - 400 M 5 G NTLM 7 M 75 M 17 G 180 G NetNTLMv2 1 M - 590 M 5 G WPA/WPA2 400-140 k 1 M RIPE MD160 - - 1,8 G 16 G En nombre de hashes testés par seconde. (*) Performances hash cat v. 0.40 sur Phenom II X6 T1090 à 3,8 GHz pour MD5 et AMD FX-8120 pour SHA1 et NTLM. Performances oclhashcat version 1.31. 19

Jeremi Gosney en 2012 4 PC 4U 25 GPU graphiques VirtualCL. Mots compte triple Coût de la configuration : 4 à 5 keur par machine 10-12 keur en cartes graphiques 7 kw en TDP. Résultats obtenus avec cette configuration pour quelques algorithmes : Lan Manager : 20 Ghashes.s -1 SHA1 : 64 Ghashes.s -1 MD5 : 180 Ghashes.s -1 NTLM : 348 Ghashes.s -1 Crédits photos et résultats : Jeremi Gosney, Stricture Consulting Group, Tacoma, WA, USA Pictures and results credits : Jeremi Gosney, Stricture Consulting Group, Tacomat, WA, USA 20

Mots nez Jeu de caractères # possibilités Temps GPU maxi (NTLMv2) [0-9]{8} 10 8 21 ms [A-Z]{8} 2.10 11 44,5 s [A-Za-z]{8} 5.10 13 3 h [0-9A-Z]{8} 3.10 12 10 min [0-9A-Za-z]{8} 2.10 14 13 h [90]{8} 4.10 15 10,6 j dklfr9 5.10 13 3 h 21

Mots doux Et donc, comment dklrf9 peut-il devenir FORT? Un indice figure dans le tableau de comparaison des fonctions de transformation précédent (Mot compte double). Un petit mot, au passage, sur la «salaison» : un sel commun autre secret à protéger ; le sel n est donc pertinent que s il est individualisé ; partant, un sel individualisé doit aussi être stocké il figure généralement dans le même référentiel ; un sel n empêche pas le cassage : il allonge simplement le mdp! le sel ne fait que ralentir une attaque en masse en individualisant les recherches et en empêchant de ce fait l usage de rainbow tables (à condition que sa longueur soit conséquente également). 22

Des chiffres et des mots 10 000 000=? 23

Des chiffres et des mots 10 000 000= #temps pour saisir un mot de passe ----------------------------------- #temps pour contrôler ce mot de passe Énorme différence qui peut être mise à profit, sans gêner l utilisateur, afin de pratiquer les 24

Mot magique itérations Et si l on ralentissait le contrôle d un mot de passe en itérant 10 millions de fois le même algorithme de hash? Qui s en plaindrait (à part les craqueurs de mdp)? C est ce que fait WPA2, en itérant 4 096 fois SHA 1. 25

Mots zilla Reprenons à présent notre grille comparative Jeu de caractères # possibilités Temps GPU maxi (NTLMv2) Temps GPU maxi (NTLMv2) Sans itération Avec un facteur 10 7 [0-9]{8} 10 8 21 ms 59 h [A-Z]{8} 2.10 11 44,5 s 14 ans [A-Za-z]{8} 5.10 13 3 h 3 600 ans [0-9A-Z]{8} 3.10 12 10 min 190 ans [0-9A-Za-z]{8} 2.10 14 13 h 15 000 ans [90]{8} 4.10 15 10,6 j 300 000 ans dklfr9 5.10 13 3 h 53 jours Victoire! 26

Mots rêvés Avec un tel ralentissement toute tentative de cracking de référentiels de mdp devient très onéreuse, dictionnaire, Markov ou pas! les mdp peuvent fuiter, le risque d usurpation tend vers zéro. l utilisateur n est alors PLUS impliqué dans la chaine des reproches. 27

Mots rêvés Ainsi, avec la configuration de Jeremi Gosney, on tombe à 71 kilohashes par seconde pour bcrypt et à 364 khashes.s -1 pour sha512crypt. Si, en outre, le facteur de ralentissement (dénommé coût également) varie selon le fournisseur (contrairement à WPA2 fixé à 4 096) : toute tentative de cracking devient encore plus vaine, le nombre d itérations étant inconnu du craqueur! Mais, à l instar d un sel commun, c est un secret supplémentaire à protéger : mais uniquement si ce dernier est centralisé ; car ce facteur pourrait également être stocké sous la forme d un cookie sur le terminal utilisateur ou utilisé comme un second mdp (à la manière d un OTP). 28

Mot tard Ces techniques de ralentissement se généralisent désormais : LinkedIn, GRUB2, WPA, OS/X 10.7, Android PIN, Cisco $9$, PHPass (phpbb3, Wordpress, Joomla 2.5.18 et 3.2.1), etc. Très bien mais, partant, on assiste au développement d autres méthodes de vol de mdp : non plus via fuite de référentiels de mdp ; mais par écoute de masse (via keyboard logging provenant d infections généralisées). Le mdp vit-il ses dernières heures? 29

Ralentir c est chouette. Mot de la fin Mais pourquoi cela ne fonctionne-t-il pas ainsi? Erreur quant aux choix réalisés et à l absence de calcul des risques : o choix des fonctions de hash inapproprié, les algorithmes de hash cryptographique (MD5, SHA-x, etc) sont conçus pour être rapide et pas du tout pour traiter des mots de passe (comme le sont PBKDF2, BCrypt, SCrypt appelés parfois algorithmes adaptatifs) ; o absence de cycle de développement sécurisé chez les fournisseurs, les hébergeurs ; o pas de gestion des risques à long terme (étude de risques niveaux d assurance moyens et processus). 30

Mot de la fin Pourquoi cela ne fonctionne-t-il pas ainsi? Problématiques techniques o Coût matériel inhérent à une implantation centralisée du ralentissement ; o nécessite d autres modèles d authentification : distinction logon de la création/changement mdp ;» création/modification d un compte en central car épisode assez rare,» mais calcul du hash ralenti en local lors de la phase de logon car épisode fréquent. 31

Mots croisés 2 axes : maîtrise du parc et localisation Maîtrise du parc Entreprise (Microsoft AD) o Parc de terminaux bien identifiés coût déterminé. Service internet o Multiplicité des terminaux coût difficile à établir. Localisation du calcul Central (cas de l AD) o Onéreux interdit l usage d algorithmes adaptatifs. Distribué o Problématique de la multiplicité des terminaux difficulté d ajustement du coût. o Le coût peut être individualisé nous ramène aux modèles d authentification. 32

Mot ment Un mot de passe conçu par un humain est forcément faible. Mémoire limitée stratégies d économie motifs répétitifs. 1 mdp craqué met à mal l ensemble du portefeuille Un objectif caché de la LCN2? Les référentiels d assurance dans l authentification (NIST, NeAF, IDABC) font l hypothèse implicite de la nonutilisation d algorithmes adaptatifs (c est la réalité du terrain, encore aujourd hui). La sensibilisation est incontournable (travail de fond). Mais elle ne fait pas tout. L outillage vient à la rescousse et devient nécessaire, surtout lorsqu on manque de temps («rémédiation» suite à un audit par exemple). 33

Mots choisis Tout cela est gentil mais concrètement on fait quoi? Vous ne pouvez, hélas, vous passer de mots de passe? Soit mais, surtout, n oubliez pas : o chaque accès mot de passe différent (et sans AUCUNE relation) o vérifier les classes de caractères admises à la saisie ; o oubliez toutes ces «règles» de construction et générez des mdp aléatoires et > 14 symboles (cause Lan Manager) o l être humain n est PAS fait pour gérer des mdp : utilisez un coffre-fort (CyberArk PAS, Tivoli AM, KeePass, RobotForm, PasswordSafe, etc) : laissez-lui générer vos mdp, des mdp vraiment pseudo-aléatoires > 14 symboles ; le coffre-fort n est pas utilisable dans certains cas? (GINA MS-Windows) passphrase 9 mots (chaque mot 2 symboles) doit rester exceptionnel), gardez les plus précieux sous une autre forme loin de vous. o militez (ou choisissez) afin que les fournisseurs utilisent de vrais algos conçus pour traiter les mots de passe, algorithmes dits adaptatifs : PBKDF2 (WPA/WPA2), Bcrypt, Scrypt, utilisez des OTP (Key, SMS, soft tokens sur mobile) surtout en zone hostile (RSA, HID Activ/ID, Vasco, Gemalto/SafeNet, Feitian, Nagra, etc, etc) ; imposez l authentification multi-facteurs (Evidian en remplacement de la GINA par ex. mais également services extranet via MS-ForeFront et en ligne : Google, Azure, etc) 34

Mots damnés Vous pouvez vous passer de mots de passe? Utilisez des modules cryptographiques! Les produits ne manquent pas : HID, Gemalto/SafeNet, Oberthur, NXP, Feitian, CardContact, etc,etc. OK, cela nécessite une IGC (infrastructure de gestion des clés) : IGC lourde, onéreuse, modifie les habitudes de l entreprise ; Le jeu en vaut-il la chandelle? Et bien augmentez alors le facteur d adhésion avec : un badge unique multifonctions qui assure le contrôle d accès logique, physique au bâtiment, au parking, contient un portemonnaie électronique pour le restaurant, la bibliothèque, etc. Toujours rechercher le compromis facilité/adhésion/sécurité et protection. 35

Motivés! 36

Références Sur l équipement de cracking à base de GPU de Jeremy Gosney : http://passwords12.at.ifi.uio.no/jeremi_gosney_password_cracking_hpc_passwords12.pdf Sur le modèle de Markov appliqué au cracking de mots de passe : http://www.cs.utexas.edu/~shmat/shmat_ccs05pwd.pdf Sur la théorie de l information C. E. Shannon, A mathematical Theory of Communication, Bell System Technical Journal, v. 27, pp.379-423, 623-656, July, October 1948, : http://cm.bell-labs.com/cm/ms/what/shannonday/shannon1948.pdf Sur l entropie statistique de Shannon : C. E. Shannon, Prediction and Entropy of Printed English,Bell System Technical Journal, v.30, n.1,1951, pp. 50-64 : https://www.princeton.edu/~wbialek/rome/refs/shannon_51.pdf 37

Niveaux d assurance de l e-authentification Plusieurs modèles dans le monde (USA, Australie, UE) Démarche toutefois classique étude des risques conduisant aux impacts (gravité) en cas de perte du critère authentification ; classification selon l impact (ou gravité) en fonction d une échelle générique, sectorielle, réglementaire (voire méthodes EBIOS, Mehari) : o 4 niveaux selon OMB 04-04, o 5 selon NeAF, o 4 selon STORK. Déclinaison des types de supports, des mesures de protection de ceux-ci et des processus (enrôlement, changement de support, révocation) selon une grille technique (NIST SP800-63-2). 38

Tentative d arbre décisionnel quant au choix d un support d authentification Variables : lieu (chez soi, en entreprise, en zone hostile) ; moyens (pc perso, d entreprise, terminal connu, étranger) ; transport (national, international, intranet, extranet) ; correspondant (entreprise, service web, le courriel perso) ; type de données échangées (données d entreprise, courriel perso, photos, etc) ; sensibilité des données accédées (entreprise, personnel ou sécurité nationale). Et l authentification ne suffit pas, il y a aussi la confidentialité, l intégrité, la traçabilité, la disponibilité, etc. Variables trop nombreuses analyse des risques (s appuyant sur NeAF, OMB-FIPS-NIST par exemple) Prendre le plus haut niveau d assurance requis par compte et/ou pratiquez l authentification basée sur le risque, RBA (RSA, LinkedIn, Apple, AWS, FB, Paypal, Twitter, etc). 39