Est-il peu probable qu'un lien Google Doc soit deviné?

Question

La plupart (sinon tous) d'entre nous savent qu'un lien Google Doc ressemble à ceci: https://docs.google.com/document/d/13P3p5bA3lslqEJT1BGeTL1L5ZrQq_fSov_56jT9vf0I/edit

Il existe plusieurs outils (comme Trello) qui vous permettent de "joindre" un document à partir de Google Drive. Lorsque vous joignez un document, vous devez entrer manuellement et ajouter des personnes au document - ou dire que toute personne disposant d'un lien peut modifier, afficher ou commenter.

Du point de vue de la sécurité, dans quelle mesure le risque de dire que tout le monde peut modifier est-il risqué? Quelle est la probabilité qu'une personne force brutalement à deviner votre lien Google Doc et puisse ainsi accéder à votre document?

Je suppose ici qu'il existe des moyens beaucoup plus faciles (par exemple, de deviner le Trello PW de quelqu'un, le déchiffrement du tuyau en caoutchouc) pour accéder à toutes les informations que l'attaquant recherchait, principalement sur le fait évident qu'il y a beaucoup de personnages, plus les hypothèse que Google probablement garde un œil sur ce genre de comportement sournois ...

Mais disons que vous avez réussi à forcer les liens par brute - quelles sont les vulnérabilités de cette approche?

tylerl · Accepted Answer

En supposant que la distribution de l'ID du document est uniforme et imprévisible, voici les calculs:

44 caractères de long
Majuscule, minuscule, chiffres et trait de soulignement =
26 + 26 + 10 + 1 = Alphabet à 63 caractères

Donc:
Total des combinaisons possibles: 63⁴⁴
espace de clés: 263 bits ⇐ 44 * log₂(63)

Et nous savons que le forçage brutal d'une clé de 263 bits dans un laps de temps raisonnable (durée de vie de l'univers) est bien au-delà de ce que les lois de la physique permettront, peu importe à quel point les ordinateurs sont avancés et magiques et "quantiques".

Cela peut sembler un peu audacieux, mais cela vient du fait que le Soleil ne met tout simplement pas assez d'énergie dans un tel délai pour compter aussi haut. Voir la page 157 de Schneider Cryptographie appliquée pour les détails, ou regardez cette réponse ici où j'ai résumé les mathématiques, ou cette réponse où lynks a cité toute la section du livre de Schneier.

Plus précisément, l'énergie du Soleil ne suffit que pour compter jusqu'à 2¹⁸⁷ par an, ce qui signifie qu'il faudra 2⁷⁶ ans avec notre propre soleil, 2⁷⁵ années si nous pouvions exploiter 2 soleils, etc. Vous pourriez à peine avoir suffisamment de puissance pour compter jusqu'à 2²⁵⁶ si vous deviez alimenter votre ordinateur avec la destruction en supernova de chaque étoile de la galaxie de la voie lactée. Donc ça va quelque part.

Lucas Kauffman · Answer

Bien que la force brute puisse prendre un temps très long (proche de l'infini), il n'est pas vraiment intelligent de garder les documents confidentiels protégés de cette façon. Si vous ne vous souciez pas de qui le lit, cela n'a pas d'importance. Mais je ne mettrais pas les spécifications de votre dernier projet sur Google Docs.

Vous risquez également le fait que les liens puissent fuir, lorsque l'authentification est nécessaire, vous pouvez toujours empêcher les gens d'accéder à votre fichier. Si, toutefois, l'authentification n'est pas forcée, toute personne pouvant mettre la main sur le lien peut consulter le document.

Tom Newton · Answer

Je serais plus susceptible d'essayer de m'assurer que tous mes utilisateurs avaient des connexions Google et des autorisations sur le dossier de documents - il y a des nuances de gris entre "grand ouvert" et "ajouter chaque autorisation individuellement".

Apocryphe, j'ai vu des "modèles" dans les liens de documents - donc je ne suis pas convaincu du niveau de sécurité fourni, même si je ne voudrais pas essayer de me briser!

Soyez également conscient des attaques de type "lien qui traîne" - quelqu'un a mentionné que les navigateurs s'en souvenaient, il y a aussi des caches, des journaux de proxy Web, des raccourcisseurs d'URL, des moteurs de recherche, des transferts d'e-mails ... toutes sortes de façons douteuses que le lien puisse se propager, probablement pour les gens qui peut le trouver "utile".

Pire encore, en utilisant la méthode "all open", vous n'avez pas savoir si quelqu'un fouille, et si c'est le cas, appliquer plus de sécurité après coup sera nul.

David Stratton · Answer

Je l'ai mis à travers un testeur de complexité de mot de passe à http://howsecureismypassword.net/ et le résultat était "Il faudrait à un PC de bureau environ 802 vigintillions d'années pour casser votre mot de passe". (Cela semble être assez long).

Cela suppose bien sûr un mot de passe aléatoire, ce qui n'est probablement pas le cas ici. Là est presque certainement un algorithme créant ces ID de document et si l'algorithme peut être deviné, cela augmente certainement les chances que quelqu'un puisse deviner les ID.

De plus, aucun outil de "force du mot de passe" n'est parfait. Ce temps est une supposition par un système qui fait probablement des hypothèses qui peuvent être valides ou non. Le point de le publier était juste comme référence "Ne sachant rien d'autre, à quel point serait-il difficile de forcer cela?"

Mais en soi, il serait extrêmement difficile de deviner l'ID d'un ID particulier associé à un compte particulier. Un attaquant devrait être connecté en tant que personne ayant accès à un document spécifique, ce qui réduit considérablement le risque.

En supposant que la partie des autorisations de Google Docs est solide: seules les personnes auxquelles vous avez accordé des autorisations pour afficher le document peuvent réellement y accéder. À partir de cela, il est probable qu'un utilisateur connecté ne puisse que des documents à force brute pour lesquels il dispose déjà d'autorisations.

La complexité de l'ID n'est pas le seul outil de sécurité, c'est une couche d'obscurité en plus de la sécurité déjà existante. Ce peut être la sécurité par l'obscurité dans un sens, mais ce n'est pas le seul facteur. La sécurité par obscurité n'est mauvaise que lorsque c'est la seulement mesure de défense. = Si cela ajoute de la complexité à la tâche, il n'y a aucun mal à cela, et cela peut certainement ralentir un attaquant. Ce n'est tout simplement pas sûr de compter sur elle comme votre seule défense.

David · Answer

Permettez-moi d'ajouter quelque chose en ce qui concerne le "niveau de sécurité". Parce que la réalité de la question se résume à savoir à quel point je suis "en sécurité" ou "est-ce sécurisé". La réponse n'est pas très sûre du tout.

Ce que nous devons examiner, c'est quel est le capot probable de ce compromis. Maintenant, expliquer cela a déjà été tenté, mais nu avec moi. Je vais essayer de donner un point de vue différent.

Le lien est-il chiffré .. en quelque sorte mais pas vraiment. C'est la sécurité par l'obscurité et non le cryptage. Donc, l'espoir est que votre lien ne soit jamais découvert ou deviné et c'est tout ... rien ici n'est crypté ... rien. Le chiffrement est l'acte de convertir des données en quelque chose d'autre/autre que ce qu'elles étaient à l'origine, qu'elles soient brouillées ou complètement modifiées/substituées aux informations. Il est certainement difficile de deviner cette URL sans aucun doute, sans aucun doute, mais cette URL n'est encore qu'une URL et une fois atteinte, elle reviendra et donnera accès à vos informations.

Oui, mais personne ne le devinera tous dans un million de milliards d'années ... et bien vous espérez! Le fait est que vous ne saurez peut-être jamais si ou quand il le fait. La force brute est suffisamment sophistiquée et les hachages peuvent être très bien devinés, ce n'est pas comme s'ils allaient deviner Aaaaaaaaaaaaaaaaaaaa1, Aaaaaaaaaaaaaaaaaaaa2, etc., de nombreuses mauvaises options seront éliminées. ils vont déterminer quel hachage est fait et faire des valeurs mathématiques légitimes. Ils sont ensuite en mesure de créer un tableau de toutes les valeurs possibles et de le fédérer sur de grands botnets ou des outils comme AWS lambda, etc., où ils peuvent essayer des millions de demandes rapidement et c'est du trafic légitime vers Google dans le monde entier.

En plus de cela, votre trafic n'est pas sûr où que vous alliez et ce que vous faites saigne partout et les autres le voudront. Ainsi, les analyses Web/plugins/programmes malveillants/cafés/etc. peuvent contenir du mauvais code ou contenir des attaques qui prennent votre URL et l'exposent à des groupes malveillants.

Le plus gros problème étant que vous ne savez jamais qui voit et accède à vos fichiers et si vous avez des choses là-dedans, vous ne souhaitez pas que quiconque y ait accès, supprimez immédiatement le lien de partage.

J'espère que cela jette un peu de lumière sur les liens partagés, ce problème existe pour Dropbox ou tout autre lien de partage où les informations d'identification ne sont pas fournies et les fichiers ne sont pas cryptés ou protégés au repos.