Le salage de mots de passe est un terme utilisé pour décrire une mesure technique de cybersécurité utilisée pour défendre les mots de passe en cas de violation de données. Lorsqu’une entreprise utilise le salage de mot de passe, cela signifie que son site Web, son application ou sa plate-forme ne stocke pas les détails numériques et alphabétiques exacts de votre mot de passe dans un fichier texte brut pour que tout pirate puisse le découvrir et l’exploiter facilement. Au lieu de cela, les mots de passe salés sont stockés comme une version codée d’eux-mêmes qui est beaucoup plus difficile à déchiffrer et, par extension, beaucoup plus difficile à voler.
Le salage de mot de passe peut être difficile à comprendre au début. Nous devrons définir quelques termes de cybersécurité pour que vous compreniez parfaitement le fonctionnement du salage. Dans cet article, nous vous montrerons comment fonctionnent les mots de passe standard, comment le salage des mots de passe améliore la sécurité des mots de passe standard et vous fournirons quelques tactiques que vous pouvez utiliser pour rendre vos comptes presque impossibles à pirater.
Plongeons dedans.
L’insécurité de la plupart des mots de passe
La cybersécurité est plus importante que jamais à prendre en main. Dans notre monde numériquement connecté, vous voulez vous assurer que vos données ne sont jamais perdues ou entièrement exposées lors d’une seule violation de données.
Il y a quelques années, Yahoo! révélé qu’entre 2013 et 2016, à travers deux violations de données, les données personnelles de plus de 3 milliards de leurs utilisateurs ont été consultées. Il s’agissait de la plus grande violation de données de l’histoire connue.
Bien sûr, la plupart des violations de données n’atteignent pas cette ampleur. Mais Zippia ont constaté que plus de 3 violations de données se sont produites par jour en 2020, exposant plus de 155,8 millions d’enregistrements numériques.
Lorsqu’une violation de données a lieu, l’une des premières choses que les gens demandent est : mon mot de passe a-t-il été exposé ?
Nous avons beaucoup écrit sur le importance d’utiliser un mot de passe fort. Les meilleurs mots de passe contiennent une chaîne aléatoire de lettres, de chiffres et de caractères. Et pour vos comptes les plus importants, il est sage de changer vos mots de passe tous les quelques mois.
Mais même si vous suivez ces meilleures pratiques, il y a toujours un risque que votre mot de passe soit exposé sans que vous en soyez responsable. Si un site Web est piraté et que votre mot de passe est vu par des pirates, aucun nombre de caractères aléatoires ne vous sauvera.
À moins, bien sûr, que le site Web piraté ait utilisé une petite méthode de cryptage connue sous le nom de hachage de mot de passe.
Comprendre le hachage de mot de passe (et ses limites)
Cette partie va devenir un peu technique. Mais ne vous inquiétez pas, nous donnons quelques exemples (et il n’y a pas de test).
Le hachage est un terme de cryptographie qui se traduit essentiellement par la randomisation. Lorsque vous “hachez” un mot de passe, vous l’encodez de sorte que les caractères d’origine n’aient aucun lien immédiatement discernable avec le mot de passe d’origine.
Le hachage obscurcit votre mot de passe d’origine, ce qui rend plus difficile pour les pirates de le découvrir et de l’exploiter lors d’une violation. Mais le hachage a un défaut majeur : il n’est pas entièrement aléatoire. Un mot de passe haché suit un modèle spécifique, appelé algorithme de hachage. Bien sûr, le modèle peut être difficile à déchiffrer. Mais une fois fissuré, tous les mots de passe associés utilisant le même algorithme de hachage seront exposés en même temps.
Par exemple, si plusieurs personnes utilisent “Password123” comme mot de passe, dès qu’un pirate pirate un mot de passe, ils exposent tous les autres mots de passe avec les mêmes caractères. C’est un défaut majeur du hachage.
Pour protéger votre mot de passe lors d’une violation, les cryptographes (experts en chiffrement) ont dû faire preuve de créativité. Le hachage ne suffisait pas. Leur solution ? Salaison.
Le salage des mots de passe expliqué
Commençons par la métaphore évidente. Salt ajoute de la saveur à chaque mot de passe stocké dans une base de données pour rendre chacun, même ceux avec des caractères similaires ou identiques, unique. Si deux personnes utilisent le même mot de passe, “Password321”, par exemple, le salage garantit que ces mots de passe ne semblent pas identiques dans le stockage.
Passons maintenant aux aspects techniques.
Le salage de mot de passe est une technique utilisée pour protéger les mots de passe stockés dans des bases de données en ajoutant une chaîne de caractères aléatoires (sel) à chaque mot de passe avant que ces mots de passe ne soient hachés. Cela crée des mots de passe uniques même lorsque plusieurs personnes utilisent les mêmes mots de passe. Avec les mots de passe salés, les pirates ne peuvent pas faire de pause car chaque mot de passe doit être déchiffré individuellement pour chaque utilisateur.
Pense-y de cette façon. Le salage est la troisième couche de sécurité du stockage des mots de passe :
- Étape 1 : Les mots de passe sont stockés dans un fichier texte brut
- Étape 2 : Les mots de passe hachés sont stockés, obligeant les pirates à déchiffrer un code complexe pour voir le vrai mot de passe
- Étape 3 : Les mots de passe hachés sont salés, garantissant qu’aucun mot de passe associé ne peut être exploité en même temps que l’autre
Mais qu’est-ce qu’un mot de passe salé ? Imaginez que vous ouvrez un nouveau compte.
Au sens le plus littéral, un mot de passe salé est un mot de passe dans lequel des caractères supplémentaires sont ajoutés au mot de passe avant que le contenu ne soit haché puis stocké. C’est comme si vous créiez un mot de passe, mais avant de soumettre le mot de passe, une chaîne aléatoire de caractères supplémentaires est ajoutée à votre mot de passe afin qu’il ne ressemble vraiment à aucun autre mot de passe existant.
Cette chaîne de caractères salés et aléatoires est ce qui est stocké dans la base de données.
Cela soulève une autre question : comment l’entreprise elle-même reconnaît-elle le mot de passe ? Pour ce faire, il stocke la variable salt avec la variable hash.
N’oubliez pas : vous avez toujours besoin d’un mot de passe fort et aléatoire
Il est important de se rappeler que le salage et le hachage d’un mot de passe ne vous dispensent pas d’utiliser un mot de passe fort. Au contraire, le salage est simplement un moyen de protéger vos mots de passe polyvalents contre l’exposition.
C’est un trait terrible et mauvais pour votre empreinte numériquemais c’est courant : faites comme si vous utilisiez le même mot de passe pour tous vos comptes de médias sociaux. Si une entreprise de médias sociaux subit une violation de données, le salage peut faire la différence entre un compte vulnérable et tous vos comptes vulnérables. Si la société de médias sociaux piratée a utilisé le salage du mot de passe, les pirates ne pourront pas voir votre mot de passe (et ne pourront donc pas essayer ce mot de passe sur d’autres comptes avec vos mêmes informations).
D’un autre côté, si la société de médias sociaux piratée n’a pas utilisé le salage et le hachage du mot de passe, les pirates peuvent copier-coller votre mot de passe en texte brut dans d’autres comptes de médias sociaux pour voir s’ils peuvent se connecter en tant que vous.
C’est important. Mais le salage ne nie pas l’importance de créer un bon mot de passe. N’oubliez pas : la plupart des cyberattaques réussies ne sont pas le résultat d’une exploitation technologique. Ils sont le résultat d’un hacker exploitant une erreur humaine : un hacker devine votre mot de passe parce qu’il est faible, le logiciel malveillant prend le contrôle de votre ordinateur via un clic lien de phishinget ainsi de suite.
Autres moyens de chiffrer vos données et de rester en sécurité en ligne
Tout au long de cet article, nous avons dansé autour d’un sujet sans le nommer. Le salage et le hachage sont des sous-catégories d’un terme plus large de cybersécurité : chiffrement.
Le chiffrement est un ensemble d’outils puissants qui protègent vos données contre l’exposition à des acteurs malveillants. Le sujet du cryptage nous amène à une question importante concernant votre sécurité en ligne : si le salage crypte vos mots de passe sur un site Web spécifique, pouvez-vous faire quelque chose pour crypter votre activité lorsque vous naviguez sur Internet ?
En fait, oui, il y en a !
Laissez-moi vous parler des réseaux privés virtuels (VPN). Un VPN est un outil qui achemine toutes vos activités Web via un réseau crypté serveurprotégeant vos données et vous rendant anonyme en ligne.