Propos et Commentaires du Climenole

Password Maker (Authentification 2)

Dans l’article précédent nous avons vu les 2 critères de base des bons Mots de Passe et une méthode pour créer de tels Mots de Passe qui soient à la fois (raisonnablement) robustes et (facilement) mémorisables.

Nous avions aussi mentionné le problème des limitations pour son utilisation pratique dans un contexte de multiplication des demandes d’authentification sur le Web. Il est temps de passer, non à la solution mais à une suggestion de solution à ce problème: l’extension Firefox PasswordMaker d’Eric H. Jung.

PWMKR-01-2009-06-01_135313

PasswordMaker permet de générer des Mots de Passe robustes et de les utiliser via un simple clic sur l’icône dans la barre d’outils de Firefox, le menu contextuel ou un raccourci clavier. L’extension offre un ensemble de fonctionnalités et de paramètres capables de satisfaire les plus exigeants mais les options par défaut pourront suffire amplement aux besoins de la vaste majorité des utilisateurs.

Une de caractéristique important de PasswordMaker est que le vol de votre Mot de Passe principal est en lui même insuffisant pour permettre à un tiers d’accéder à vos ressource protégées par les MdP générés par l’extension.

En effet, PasswordMaker utilise jusqu’à 10 variables pour l’algorithme de calcul des MdP:

  1. L’URL du site de connexion (+ 4 sous-variables)
  2. Le jeu de caractères utilisé
  3. L’algorithme de ‘hashage’ (9 en tout)
  4. Le modificateur (si utilisé)
  5. Le nom d’utilisateur (si utilisé)
  6. La longueur du MdP
  7. Le préfixe du MdP (si utilisé)
  8. Le suffixe du MdP (si utilisé)
  9. L’un des 9 niveau de ‘l33t speak’ (si utilisé)
  10. Quand le ‘l33t speak’ est en usage (si utilisé)

Les MdP générés ne sont conservés nulle part mais sont recalculés à chaque fois que vous en avez besoin pour vous connecter à un site sécurisé. De plus la mémoire utilisée pour le calcul est automatiquement vidée ne laissant aucune trace en mémoire physique ou virtuelle, dans le fichier de pagination (swap file) ou dans un fichier quelconque. Enfin l’utilisation de PasswordMaker ne transmet rien sur Internet ou en bouclage local (sur 127.0.0.1) et vous met aussi à l’abri des ‘keyloggers’.

Qu’en est-il alors du MdP principal si l’on choisit l’option de le conserver sur le disque? Dans ce cas ce MdP principal est chiffré sur 256 bits dans le fichier passwordmaker.rdf dans votre profil d’utilisateur et celui-ci peut être à son tour chiffré par exemple avec GnuPG

PWMKR-02-2009-06-01_142158

Les algorithmes de ‘hashage’ possibles sont: MD4   HMAC-MD4   MD5   HMAC-MD5   SHA-1   HMAC-SHA-1   SHA-256   HMAC-SHA-256   RIPEMD-160   HMAC-RIPEMD-160 , les plus robustes étant de l’avis général SHA-256, HMAC-SHA1, HMAC-MD5 et HMAC-SHA-256  mais les autres sont valables pour la plupart des usages courants et pour la majorité des utilisateurs.

Un mot à propos des collisions d’algorithmes, id est, la découverte ou plutôt la production d’au moins 2 séquences ou fichiers différents générant la même somme de contrôle avec l’un des algorithme de ‘hashage’. De telles ‘collisions d’algorithme’ ont été rapportées pour les algorithmes suivants: MD4, MD5, RIPEMD,  HAVAL-128 (non utilisé par PwdMkr) et SHA-1…

Beaucoup d’encre, de salive et de bande passante ont été utilisées à propos de ces ‘collisions’ en négligeant la plupart du temps de préciser que la production de tels événements nécessite des ressources et des compétences hors de l’ordinaire de telle sorte que la probabilité d’une ‘attaque’ massive contre ces algorithmes est faible. Certes, par prudence, les gouvernements et institutions devraient en général éviter d’utiliser un algorithme ‘compromis’ (si peu!) mais l’utilisation de l’un de ceux-ci dans le contexte dont nous parlons n’est pas pertinent.

De plus l’auteur de PasswordMaker n’est pas sans rappeler que

«…it’s important to note that the one-way nature of these algorithms has not been undermined. In other words, in the context of PasswordMaker, hash collisions do not empower someone with the ability to derive your master password if they have your generated (hashed) passwords. The hash collision attacks have no relevance to PasswordMaker except there is very small chance someone could choose a different master password than yours which hashes to the same generated password. However, he would still need your username and the URL in order to hack your account

Si bien qu’à moins de combiner l’imprudence, la malchance et une bonne dose de stupidité, il est – en pratique – impossible de compromettre vos comptes utilisant des MdP générés par PasswordMaker.

PWMKR-03-2009-06-01_142252

Enfin PasswordMaker offre des options d’export / import des paramètres et la possibilité d’auto-complétion des formulaires:

PWMKR-04-2009-06-01_142349

.

L’utilisation de l’extension est aussi simple que possible: lors de la connexion à un site demandant l’authentification par votre MdP, il vous suffit de compléter le champ MdP de la page de connexion via le menu contextuel ou une icône dans la barre d’outil du navigateur et le tour est joué! 1 clic.

PWMKR-Icône-2009-06-01_170159

.

En somme, il vous suffit de créer un seul mot de passe robuste ET mémorisable tel que vu dans la premier article puis de l’utiliser avec PasswordMaker pour respecter tout à la fois les critères d’interdiction d’accès à des tiers, de mémorisation facile du MdP et de la génération sécurisée d’un MdP robuste pour chacun des sites auxquels vous accédez. Simple non?

Dans le troisième et dernier article de cette série, nous verrons une méthode prometteuse pour l’authentification sécurisée au moyen d’OpenID, par contre les questions de certificats de sécurité, de chiffrement et de leur utilisation feront partie d’une autre série d’articles.  Alors à bientôt !  :)

Rédigé par Claude LaFrenière

2009/07/20 à 11:16