Qu'est-ce que le salage dans la sécurité des mots de passe et comment ça marche ?

La sécurité des mots de passe est un élément essentiel de la cybersécurité. Les mots de passe sont utilisés partout. Lorsque vous vous connectez à un compte, vous entrez un mot de passe, utilisé pour vérifier votre identité.

Vous avez peut-être entendu parler du terme "salage" en relation avec les mots de passe, alors qu'est-ce que le salage? Comment les mots de passe sont-ils réellement protégés des pirates? Et le salage protège-t-il vos mots de passe ?

Qu'est-ce que le salage ?

Le salage est le processus d'ajout de chaînes de caractères aléatoires uniques aux mots de passe dans une base de données ou à chaque mot de passe avant que le mot de passe ne soit haché (un terme sur lequel nous reviendrons). Ceci est fait pour changer le hachage et rendre les mots de passe plus sûrs. La chaîne de caractères ajoutée au mot de passe s'appelle le sel. Un sel peut être ajouté devant ou derrière un mot de passe.

Le sel n'est pas rendu public et n'est connu que du site.

Comment fonctionne le salage ?

Lorsque vous créez un compte sur un site Web ou une application, le mot de passe que vous utilisez doit être stocké, afin que vous puissiez être vérifié la prochaine fois que vous visitez le site. Mais ça

le mot de passe ne peut pas être stocké en clair c'est-à-dire sans aucune forme de formatage ou de codage. Le mot de passe doit être haché pour empêcher les pirates d'accéder facilement à votre compte.

Supposons que vous vous connectez à un site avec ce mot de passe: myPassword. Avant que ce mot de passe ne soit haché, une valeur de sel lui est ajoutée. Si la valeur salée pour ce site ou cet utilisateur particulier est MUOrocks%, votre mot de passe salé devient myPasswordMUOrocks%.

Le mot de passe salé est ensuite haché et stocké dans la base de données avec d'autres hachages de mot de passe.

Quelle est la différence entre le chiffrement, le hachage et le salage ?

Le salage, le hachage et le chiffrement sont des techniques de sécurité utilisées quotidiennement sur les sites et les systèmes. Ce sont des termes de cryptographie nécessaires à la sécurité des mots de passe. Mais comment diffèrent-ils?

Chiffrement

Le cryptage est une forme de cryptographie où les informations sont codées mathématiquement et ne peuvent être consultées et décodées que par une personne disposant d'une clé autorisée. Les informations qui doivent être sécurisées sont traduites du texte en clair au texte chiffré à l'aide d'un algorithme qui rend les informations indéchiffrables pour les utilisateurs non autorisés.

Le chiffrement est un processus bidirectionnel, ce qui signifie que les données chiffrées peuvent être inversées et lues, mais uniquement par ceux qui disposent de la bonne clé de déchiffrement.

Hachage

Le hachage est le processus de transformation des informations que vous souhaitez sécuriser en une chaîne de caractères également connus sous le nom de hachage. Il s'agit essentiellement de brouiller des informations à l'aide d'un algorithme.

Le hachage est une fonction cryptographique à sens unique, ce qui signifie que, contrairement au cryptage, il ne peut généralement pas être inversé. La seule façon de déchiffrer un hachage est de le comparer à un autre hachage avec une valeur de texte en clair connue.

Le hachage est utilisé pour valider votre authenticité. Lorsque vous vous connectez à un site Web et saisissez votre mot de passe, le hachage de votre mot de passe est comparé au hachage identifié avec votre compte. Si les deux hachages sont identiques, vous avez accès au site.

Salaison

Le salage est une autre couche de sécurité ajoutée au hachage. Pour rendre un hachage plus sûr, des chaînes de caractères uniques sont ajoutées au mot de passe avant le hachage pour modifier complètement le hachage.

Pourquoi les mots de passe sont-ils salés ?

Le salage est très important pour la sécurité. Cela aide à réduire le risque que des pirates malveillants obtiennent les mots de passe.

Stocker simplement les mots de passe dans des bases de données tels quels est une méthode très peu sécurisée pour préserver la confidentialité des utilisateurs. Tout pirate qualifié pourrait accéder à la base de données et avoir accès à tous les comptes du site.

Puis vint le hachage. Il a amélioré la sécurité des mots de passe jusqu'à ce que les pirates prennent le dessus. Les pirates utilisent attaques par force brute, attaques par dictionnaire, pulvérisation de mot de passe, ou des tables arc-en-ciel pour désosser les mots de passe afin d'obtenir les identifiants de connexion.

Pour renforcer les mots de passe faibles

Le salage ajoute un autre niveau de sécurité au site. Lorsqu'une valeur de sel est ajoutée à un mot de passe, le hachage est complètement modifié. Cela rend très difficile la rétro-ingénierie du mot de passe et rend la table arc-en-ciel inutile. Voici un exemple.

Texte du mot de passe	Hacher
Mot de passe d'origine	mon mot de passe	deb1536f480475f7d593219aa1afd74c
Mot de passe salé	myPasswordMUOrocks %	51ae8ec80ae589f4270a1260841650a1

Comme vous pouvez le voir dans le tableau, les hachages sont complètement différents. Le mot de passe reste le même lorsque vous visitez le site, mais le hachage est plus sécurisé contre l'exploitation. Le salage est particulièrement important lorsque les utilisateurs utilisent des mots de passe faibles et populaires tels que "mot de passe" ou "12345". Le salage réduit le risque lié aux mots de passe faibles.

Pour rendre les hachages de mot de passe uniques

Le salage est également important lorsque deux utilisateurs ou plus ont les mêmes mots de passe. L'ajout de différents sels aléatoires à chaque mot de passe contribue à rendre chacun unique. Par exemple, si votre mot de passe est iL0veCh3ese! et un autre utilisateur, Chioma, a ce mot de passe exact, le salage est utilisé pour rendre ces hachages de mot de passe uniques.

Mot de passe	Valeur de sel	Mot de passe salé	Hachage MD5
Tu	iL0veCh3ese !	Am4la !	iL0veCh3ese! Am4la !	31fda55ee57bc4c49ef6e0c99b0ba904
Chioma	iL0veCh3ese !	ew3du?	iL0veCh3ese!ew3du?	cf0bea59647ba39e058a20c14fc10b0d

Maintenant, ces mots de passe, bien que identiques, ont des hachages complètement différents. Lorsque vous regardez les hachages, vous ne pourrez jamais reconnaître que les deux utilisateurs partagent un mot de passe.

Choisir un bon sel

Choisir un bon sel est aussi important que choisir un mot de passe. Un bon sel doit être unique. Assurez-vous d'utiliser des caractères et/ou des symboles uniques qui rendraient votre hachage plus sûr. Le sel ou les sels que vous choisissez pour votre site Web ne doivent pas être prévisibles ou faciles à deviner, comme le nom du site ou de l'utilisateur. Un autre avantage supplémentaire est l'utilisation de sels longs.

La meilleure façon de choisir un sel unique et fort est d'utiliser des générateurs de valeur de sel. Ceux-ci vous aident à créer des sels aléatoires et forts pour augmenter votre sécurité.

Ne stockez pas les sels avec la base de données de mots de passe et n'utilisez pas les mêmes sels pour tous les mots de passe. Une autre bonne astuce consiste à changer le sel chaque fois qu'un utilisateur change son mot de passe.

Le salage est-il efficace pour renforcer la sécurité ?

Oui. Le salage augmente la sécurité d'un mot de passe. Lorsque vous salez un mot de passe, il est impossible pour un pirate de déchiffrer un mot de passe à l'aide de tables de dictionnaire ou de tables arc-en-ciel. Le forçage brutal du mot de passe haché est également futile car il faudrait beaucoup de temps avant que la combinaison parfaite du hachage ne soit trouvée. De cette façon, les mots de passe sont plus sûrs et plus à l'abri des pirates.

Les 8 astuces les plus couramment utilisées pour pirater les mots de passe

Lire la suite

A propos de l'auteur