Dans de nombreux cas, les mots de passe sont stockés avec des fonctions cryptographiques irréversibles dépassées (md5, sha1…). Par exemple, le site LinkedIn stockait une partie de ses mots de passe avec du sha1, et après la fuite de ces hashs en 2012, il n'a fallu que trois jours pour récupérer 90% des mots de passe.
Pour stocker les mots de passe, parmi les meilleurs gestionnaires, on retrouve KeePass, 1Password, LastPass, Dashlane, NordPass, Keeper, Enpass, RoboForm, ou encore Bitwarden.
Le hachage de mot de passe est l'une des pratiques de sécurité les plus basiques qui doit être effectuée. Sans cela, chaque mot de passe stocké peut être volé si le support de stockage (typiquement une base de données) est compromis.
Pourquoi crypter les données sensibles dans un SI ? La réponse est simple. Il s'agit de garder confidentiel le mot de passe qui a été attribué à l'utilisateur en dehors de l'application.
Le salage est une méthode permettant de renforcer la sécurité des informations qui sont destinées à être hachées (par exemple des mots de passe) en y ajoutant une donnée supplémentaire afin d'empêcher que deux informations identiques ne conduisent à la même empreinte (la résultante d'une fonction de hachage).
Une attaque par force brute consiste à essayer des millions de noms d'utilisateur et de mots de passe chaque seconde, jusqu'à trouver la bonne combinaison. Voilà le principe. Cependant, même si ces attaques sont plutôt simples, elles sont trop souvent couronnées de succès.
Il existe donc plusieurs versions de SHA : SHA0 (obsolète puisque totalement vulnérable), SHA1 (actuellement le plus utilisé), SHA2 (qui nous intéresse) et enfin le tout dernier SHA3 né en 2012.
Celui-ci n'est pas stocké en base de données, mais dans les sources d'une application, dans un fichier de configuration ou en variable d'environnement.
On utilise fréquemment les fonctions de hachage dans des structures de données : les tables de hachage. Le principe est d'utiliser les empreintes des clés comme indices des éléments de la table. Ces empreintes sont des nombres entiers obtenus en hachant la clé des objets à stocker, souvent une chaîne de caractères.
Un coffre-fort de mots de passe, gestionnaire de mots de passe ou casier de mots de passe est un programme qui stocke des noms d'utilisateur et des mots de passe pour différentes applications, de manière sécurisée et sous une forme chiffrée.
Changer de mot de passe, c'est s'assurer que la fuite de vos identifiants ne soit pas une porte ouverte pour une attaque informatique, ou en tout cas pas trop longtemps.
Cliquez sur le bouton Outils, puis sur Options Internet. Cliquez sur l'onglet Contenu. Sous Saisie semi-automatique, cliquez sur Paramètres. Activez les cases à cocher Adresses Web, Formulaires, Noms d'utilisateur et mots de passe sur les formulaires et Demander l'enregistrement des mots de passe.
Fondamentalement, tous vos mots de passe ou informations d'identification sont stockés dans l'application Credentials Manager de Windows 10. Ils sont généralement stockés sous une forme cryptée.
Cliquez sur Démarrer, puis sur Panneau de configuration. pour ouvrir la boîte de dialogue Comptes d'utilisateurs. Gérer mes mots de passe réseau.
Ainsi, pour calculer l'empreinte MD5, SHA-1, ou SHA-256, faites un clic droit sur le fichier puis Propriétés. Dans les propriétés du fichier, cliquez sur l'onglet Hachages. Hashtab va alors calculer les valeurs de hachage. Par défaut CRC32, MD5 et SHA-1 s'affichent.
Fonctions de hachage usuelles
MD5 produit des hachés de 128 bits en travaillant les données originales par blocs de 512 bits. SHA-1 (Secure Hash Algorithm 1), comme MD5, est basé sur MD4. Il fonctionne également à partir de blocs de 512 bits de données et produit par contre des condensés de 160 bits en sortie.
Le haschich tamisé à sec et pressé de bonne qualité présente un aspect blond-marron clair avec une texture douce, granuleuse (presque « sableuse ») pour le hasch légèrement pressé et un aspect marron foncé, brillant et dur pour les types fortement pressés.
Votre mot de passe doit être complexe, afin que personne ne puisse le deviner, pas même votre famille ou votre entourage. Il doit comporter au minimum 8 à 12 caractères mélangeant les majuscules, les minuscules, des chiffres et des caractères spéciaux.
Les caractères spéciaux pour mots de passe sont une sélection de caractères de ponctuation présents sur les claviers standards et fréquemment utilisés dans les mots de passe.
Cette « force » dépend de la longueur L du mot de passe et du nombre N de caractères possibles. Elle suppose que le mot de passe est choisi de façon aléatoire. Elle se calcule aisément par la formule NL. Mais il est plus difficile d'estimer si la valeur ainsi obtenue est suffisante ou pas.
On utilise plusieurs types de sel sur les routes. Le chlorure de sodium, sous une forme proche de notre sel de table, est le plus fréquemment utilisé.
Il se peut que vous disposiez d'un logiciel de gestion de mots de passe, peut-être inclus en tant que fonctionnalité dans votre logiciel de sécurité, qui empêche Firefox d'enregistrer les mots de passe. Vérifiez les paramètres de votre logiciel de gestion des mots de passe.
Tous les réglages que vous faites dans Firefox, comme le choix de votre page d'accueil, les barres d'outils que vous utilisez, les extensions que vous avez installées, les mots de passe que vous avez enregistrés et vos marque-pages, sont stockés dans un dossier spécial appelé « profil ».