Peppering n'est pas seulement un mot lié aux compétences culinaires; c'est également un processus de cryptographie important dans la sécurité des mots de passe. Il est essentiel que les mots de passe soient conservés en toute sécurité contre les attaques de pirates. Peppering aide à le faire. Qu'est-ce que le poivre et comment aide-t-il à protéger vos mots de passe ?
Qu'est-ce que le poivre ?
Le peppering est un processus cryptographique qui consiste à ajouter une chaîne de caractères secrète et aléatoire à un mot de passe avant qu'il ne soit salé et haché pour le rendre plus sûr. La chaîne de caractères ajoutée au mot de passe s'appelle un piment. Le poivre modifie complètement le hachage d'un mot de passe et le rend insensible aux attaques par force brute et le craquage de mots de passe à l'aide de tables de dictionnaire et de tables arc-en-ciel.
Comment fonctionne le poivre ?
Peppering est une couche supplémentaire de sécurité ajoutée aux mots de passe. Considérez-le comme différentes garnitures sur un gâteau. Le gâteau simple est un mot de passe en texte clair et le hachage est la garniture finale, par exemple, les pépites. Si vous mettez des pépites directement sur le gâteau, cela ne serait pas très beau. C'est la même chose avec la sécurité par mot de passe.
Le simple hachage d'un mot de passe n'est pas sécurisé car le mot de passe peut facilement être déchiffré. C'est pourquoi les autres garnitures, le sel et le poivre (ironiquement), rendent le gâteau meilleur, comme ils le font avec les mots de passe.
Alors, qu'est-ce que cela signifie réellement qu'un mot de passe soit haché? Le hachage est un processus de chiffrement à sens unique en cryptographie. Les mots de passe hachés sont essentiellement brouillés et au lieu de stocker les mots de passe en clair dans une base de données, les hachages sont stockés. Lorsque vous entrez votre mot de passe, il est haché puis comparé au mot de passe haché dans la base de données. C'est ainsi que le système valide votre identité.
Tout comme le salage, un piment est ajouté à un mot de passe pour le rendre plus sûr. Ainsi, un mot de passe est transformé d'un simple mot de passe en clair au hachage d'un mot de passe + sel + poivre. Ainsi, dans le cas où un pirate aurait accès aux sels et/ou même aux mots de passe des utilisateurs, le pirate serait incapable de déchiffrer le mot de passe haché car le piment change complètement le hachage.
Par exemple, comparez le hachage d'un mot de passe simple, d'un mot de passe salé et d'un mot de passe poivré. Soit le mot de passe '1yAm0r1a!', le sel 'eW3dU%' et le poivre 'Am41a?'.
| Texte du mot de passe | Mot de passe haché | |
| Mot de passe en clair | 1yAm0r1a ! | c243787fb465db7b550974bd0801616845c4c36b260ab1e90b5f1524d9babd69 |
| Mot de passe salé | 1yAm0r1a!eW3dU% | 06b63a0d575ce62e39cc9942ad835f276ac0b959dd04837e007209e274e2fbdb |
| Mot de passe poivré | 1yAm0r1a!eW3dU% Am41a? | fb33c3dfc404e9ee22b1ea246cf244e7495128dbc49c6af27a86dc7ee2992553 |
Un poivre peut-il être utilisé sans sel ?
Oui, un mot de passe peut être utilisé sans sel. Mais ce n'est pas idéal pour la sécurité des mots de passe. Si un attaquant apprend à connaître le poivre d'un site, ce site devient vulnérable aux attaques car le poivre est utilisé pour tous les mots de passe de la base de données.
Quelle est la différence entre poivrer et saler ?
D'une certaine manière, un poivre est un type de sel. Ils rendent tous les deux les mots de passe plus sûrs, mais ils sont différents. Contrairement aux sels, les poivres sont secrets, à l'échelle statique et non générés de manière aléatoire.
Les poivrons ne sont pas générés au hasard
Lorsque vous vous connectez à un site Web et saisissez votre mot de passe, avant qu'il ne soit haché, un sel est généré aléatoirement pour vous. Ce n'est pas la même chose avec le poivre.
En poivre, le propriétaire du site choisit le poivre. Le propriétaire du site a la responsabilité de s'assurer que le poivre choisi est sûr et suffisamment solide. Bien entendu, le propriétaire du site peut choisir d'utiliser un générateur de valeur aléatoire pour choisir un piment.
Les poivrons sont statiques
Quand quelque chose est statique, cela signifie qu'il ne change pas. Dans le salage, chaque sel est généré pour chaque utilisateur de la base de données. Mais un piment est utilisé dans toute la base de données. Il n'y a pas de poivrons pour les utilisateurs individuels.
Les poivrons sont gardés secrets
Contrairement aux sels que l'on peut trouver dans la base de données d'un site, les piments sont secrets. Ils ne sont pas stockés dans la base de données avec les sels et les hachages; cela rendrait les poivrons inutiles.
Au lieu de cela, les poivrons sont stockés dans une partie sécurisée et séparée de l'application du site. Ceci est important car dans le cas où un pirate informatique compromettrait un site et aurait accès aux mots de passe et sels d'utilisateurs sur ce site, ils ne seraient pas en mesure de déchiffrer les mots de passe car ils ne connaissent pas le poivre.
Choisir un bon poivre
Choisir un bon poivre c'est aussi important que de choisir un bon mot de passe. Tout comme les mots de passe, les poivrons doivent être raisonnablement longs et uniques. N'oubliez pas qu'un piment est utilisé sur tout le site; si un hacker force brutalement ou devine le piment, votre site serait vulnérable. N'utilisez pas le nom de votre site comme un piment. C'est l'équivalent d'utiliser "Password123" comme mot de passe.
Une autre alternative consiste à utiliser un générateur de mot de passe. Il existe de nombreux générateurs de mots de passe en ligne qui pourraient être utilisés pour choisir un bon piment.
Une autre méthode de poivre consiste à ne pas stocker le poivre du tout. Au lieu de cela, le piment est une chaîne courte et lorsqu'un utilisateur se connecte au site, le système force brutalement ou parcourt une série de piments possibles jusqu'à ce que le bon soit utilisé. Cela prend plus de temps, il faut donc utiliser un poivre court.
Un exemple simple mais non sécurisé de cette méthode consiste à rendre le poivre alphabétique. Lorsque vous vous connectez, le site parcourt chaque lettre de l'alphabet - minuscules et majuscules - jusqu'à ce que le piment soit correct.
Bien qu'il soit courant d'utiliser un piment sur un site, il est possible d'en avoir plus d'un à la fois. Un piment est attribué aléatoirement à un utilisateur lors de son inscription parmi un groupe de piments. Lorsque cet utilisateur se connecte, chaque poivre est essayé jusqu'à ce que celui attribué à cet utilisateur soit choisi.
Le Peppering est-il efficace pour renforcer la sécurité ?
Oui. Lorsqu'un poivre est utilisé avec un sel, il est incroyablement difficile pour un pirate de déchiffrer le mot de passe d'un utilisateur. Même lorsque les utilisateurs utilisent des mots de passe faibles ou les mêmes mots de passe, un pirate ne le saura jamais car le piment change le hachage. Avec le peppering, la sécurité des mots de passe est très augmentée.
7 erreurs de mot de passe courantes qui vous feront probablement pirater
Lire la suite
Rubriques connexes
- Sécurité
- Sécurité en ligne
- La cyber-sécurité
A propos de l'auteur
Chioma est une rédactrice technique qui aime communiquer avec ses lecteurs à travers ses écrits. Lorsqu'elle n'écrit pas quelque chose, on peut la trouver en train de traîner avec des amis, de faire du bénévolat ou d'essayer de nouvelles tendances technologiques.
Abonnez-vous à notre newsletter
Rejoignez notre newsletter pour des conseils techniques, des critiques, des ebooks gratuits et des offres exclusives !
Cliquez ici pour vous abonner