web-dev-qa-db-fra.com

L'école effectue des audits de mot de passe périodiques. Mon mot de passe est-il compromis?

Mon université m'a envoyé un e-mail m'informant que, lors d'un "contrôle périodique", mon mot de passe s'est révélé "facilement détectable et menacé de compromis". Si je comprends bien, il ne devrait y avoir aucun moyen pour eux de vérifier périodiquement mon mot de passe à moins que mon mot de passe ne soit stocké en texte clair. Ma question:

  • Ma compréhension est-elle erronée ou mon université a-t-elle stocké mon mot de passe en clair?

MISE À JOUR: Le département informatique de l'école m'a lié à une page expliquant les différentes façons dont ils vérifient les mots de passe. Une partie de la page m'a permis d'exécuter les tests sur mon compte universitaire et d'afficher le mot de passe s'il était effectivement découvert lors de leurs tests. Le mot de passe affiché était un mot de passe plus ancien (plus faible) qui était simplement des mots anglais séparés par des espaces, ce qui explique comment ils ont pu le trouver. Merci à tous ceux qui ont répondu.

104
Gary Blake

Votre compréhension est fausse. Si les mots de passe sont stockés en tant que hachage salé fort, l'administrateur ne peut pas trouver bon mots de passe utilisateur, mais peut trouver ceux qui figurent sur des listes de mots de passe couramment utilisés en appliquant le hachage et le sel à chaque mot de passe sur le liste et à la recherche d'un match. Cependant, c'est beaucoup plus facile si les mots de passe stockés ne sont pas salés, car dans ce cas, vous ne devez les exécuter qu'une seule fois et non une fois par utilisateur, donc cela peut indique que les mots de passe stockés ne sont pas salés , ce qui est contraire aux meilleures pratiques.

179
Mike Scott

Si je comprends bien, il ne devrait y avoir aucun moyen pour eux de vérifier périodiquement mon mot de passe à moins que mon mot de passe ne soit stocké en clair.

En fait, il y a: fissuration.

Il existe une pratique connue par laquelle les administrateurs système exécutent des outils de craquage (John the Ripper, Hashcat, etc.) contre les mots de passe hachés. Les gens avec des mots de passe simples peuvent être déchiffrés en un temps insignifiant; par conséquent, comme ils le définissent, s'ils ont craqué votre mot de passe, il était facilement détectable et à risque.

Pour citer cet article à propos de Jean l'Éventreur:

La façon dont vous décidez d'utiliser John dépend de vous. Vous pouvez choisir de l'exécuter régulièrement sur tous les hachages de mot de passe de votre système pour avoir une idée de la proportion de mots de passe de vos utilisateurs qui n'est pas sécurisée. Vous pouvez ensuite envisager comment modifier vos stratégies de mot de passe pour réduire cette proportion (peut-être en augmentant la longueur minimale.) Vous préférerez peut-être contacter les utilisateurs avec des mots de passe faibles et leur demander de les changer. Ou vous pouvez décider que le problème justifie une sorte de programme de formation des utilisateurs pour les aider à sélectionner des mots de passe plus sûrs dont ils peuvent se souvenir sans avoir à les écrire.

66
gowenfawr

Votre université n'a peut-être pas enregistré votre mot de passe en clair. Ils ont un moyen très simple d'obtenir le texte en clair de votre mot de passe, et je soupçonne qu'ils y ont accès au moins deux fois par jour.

Vous leur donnez votre mot de passe sous forme de texte en clair chaque fois que vous vous connectez.

Si vous vous connectez à une application qu'ils hébergent, comme un site pour gérer des cours en ligne ou pour vérifier vos notes, et qu'ils ont le code source de cette application en ligne, ils peuvent alors accéder à votre mot de passe en clair sans le stocker. ou le transmettre à un autre système, et peut vérifier la sécurité de votre mot de passe à ce stade.

Ils peuvent également vérifier la force du mot de passe lorsque vous vous connectez s'ils utilisent un service d'authentification unique.

Cependant, il est toujours extrêmement louche. Contactez le service informatique de votre université et vérifiez qu'ils stockent votre mot de passe en toute sécurité. Posez des questions pointues sur la façon dont ils ont vérifié votre mot de passe.

Et le reste de mes conseils suit les conseils d'authentification Internet standard: Ne cliquez sur aucun lien dans cet e-mail; si vous changez votre mot de passe, faites-le par des moyens normaux et non par un lien qui vous a été envoyé par e-mail. Utilisez un gestionnaire de mots de passe pour stocker et générer de longs mots de passe aléatoires. (Idéalement, vous ne devriez connaître que 2 de vos mots de passe: celui pour vous connecter à votre ordinateur et celui pour vous connecter à votre gestionnaire de mots de passe.) Ne réutilisez jamais un mot de passe à quelque fin que ce soit.

Et pendant que vous parlez au service informatique de l'université, posez-leur des questions sur l'authentification à 2 facteurs.

39
Ghedipunk

Il y a quelques hypothèses qui doivent être faites ici, mais ce que j'imagine que le mot de passe universitaire auquel vous faites référence est le mot de passe d'un compte Active Directory. Les mots de passe Active Directory traitent des mots de passe au format de hachage NTLM, qui ne sont pas salés. Dans cet esprit, le même mot de passe dans différents environnements aura la même valeur de hachage.

Troy Hunt propose un service appelé Pwned Passwords qui permet aux administrateurs de télécharger 517 millions de hachages de mots de passe. Il est possible que le service informatique de votre école compare les hachages de mot de passe dans leur Active Directory, avec des hachages qui apparaissent plusieurs fois dans les données susmentionnées.

Bien que le stockage de mots de passe en texte brut se produise de temps en temps (principalement dans des applications Web propriétaires), le scénario susmentionné serait mon hypothèse sur la façon dont ils ont déterminé que votre mot de passe est faible.

19
DKNUCKLES

Le mot de passe affiché était un mot de passe plus ancien (plus faible) qui était simplement des mots anglais séparés par des espaces, ce qui explique comment ils ont pu le trouver

Pour info - non, ce n'est pas le cas. Cela dépend des mots et de leur nombre. Avoir quelques mots de dictionnaire aléatoires collés ensemble est en fait un très bon mot de passe.

J'aurais bien sûr dû être lié au xkcd correspondant.

4
WoJ