Est-il sûr d'utiliser un mot de passe faible tant que j'ai une authentification à deux facteurs?
Je fais attention à utiliser des mots de passe forts (selon Quelle est la taille de votre botte de foin , mes mots de passe prendraient un tableau de craquage massif de 1,5 million de siècles pour se fissurer), je ne réutilise pas les mots de passe entre les sites, et je utilisez l'authentification à deux facteurs lorsqu'elle est disponible.
Mais taper ces mots de passe tout le temps est un vrai problème, surtout sur un téléphone ou une tablette. Un ami m'a récemment demandé pourquoi je n'utilisais pas seulement un mot de passe relativement faible pour des sites comme Gmail où l'authentification à deux facteurs était activée, et je n'avais pas vraiment de bonne réponse. Même si quelqu'un a forcé mon mot de passe par force brute, il devrait toujours être en possession physique de mon téléphone pour entrer.
Donc: est-il sûr d'affaiblir mon mot de passe Gmail pour ma propre convenance? Ou existe-t-il un scénario réaliste que je ne prends pas en considération?
Clarification: Je ne parle pas d'utiliser un mot de passe trivial (par exemple "a") - aucun site ne me le permettra de toute façon. Je parle de passer d'un mot de passe de 16 caractères avec un espace de recherche de l'ordre de 1030 à un mot de passe à 8 caractères avec un espace de recherche de l'ordre de 1014.
Spécifiquement pour Google , si vous utilisez une authentification à deux facteurs, il est sûr "d'affaiblir" votre mot de passe "à partir d'un mot de passe de 16 caractères avec un espace de recherche sur l'ordre de 1030 à un mot de passe à 8 caractères avec un espace de recherche de l'ordre de 1014"tant que vous utilisez un bon mot de passe à 8 caractères (c'est-à-dire complètement aléatoire et non réutilisé sur tous les sites).
La force de l'authentification à deux facteurs réside dans l'hypothèse que les deux facteurs nécessitent différents types d'attaque et il est peu probable qu'un seul attaquant effectue les deux types d'attaques sur une seule cible. Pour répondre à votre question, nous devons analyser les attaques possibles sur des mots de passe plus faibles par rapport à des mots de passe plus forts et la probabilité qu'une personne capable d'attaquer des mots de passe plus faibles mais pas des mots de passe plus longs attaque le deuxième facteur d'authentification.
Maintenant, le delta de sécurité entre "un mot de passe de 16 caractères avec un espace de recherche de l'ordre de 1030"et" un mot de passe à 8 caractères avec un espace de recherche de l'ordre de 1014"n'est pas aussi important que vous le pensez - il n'y a pas beaucoup d'attaques auxquelles le mot de passe le plus faible est susceptible, mais pas le plus fort. La réutilisation des mots de passe est dangereuse quelle que soit la longueur du mot de passe. Il en va de même pour MITM, enregistreurs de frappe et la plupart des autres attaques courantes contre les mots de passe.
Le type d'attaques dans lesquelles la longueur du mot de passe est significative sont les attaques par dictionnaire - c'est-à-dire les attaques dans lesquelles l'attaquant effectue une recherche exhaustive de votre mot de passe dans un dictionnaire. Il n'est évidemment pas possible d'essayer tous les mots de passe possibles dans l'écran de connexion pour un espace de recherche de 1014, mais si un attaquant obtient un hachage de votre mot de passe, il peut être possible de vérifier ce hachage pour un espace de recherche de 1014 mais pas pour un espace de recherche de 1030.
C'est là que le fait que vous ayez spécifié Google dans votre question est important. Google prend au sérieux la sécurité des mots de passe et fait ce qu'il faut pour sécuriser vos mots de passe hachés. Cela comprend la protection des serveurs sur lesquels résident les mots de passe hachés et l'utilisation de sel, de poivre et d'étirement des clés pour contrecarrer un pirate informatique qui a en quelque sorte réussi à obtenir les mots de passe hachés.
Si un attaquant a réussi à contourner tout ce qui précède, c'est-à-dire qu'il est capable d'obtenir la base de données de Google sur les sels et les mots de passe hachés et est capable d'obtenir le poivre secret et est capable de le faire une recherche exhaustive avec étirement des touches sur un espace de recherche de 1014, à moins que vous ne soyez le directeur de la CIA, cet attaquant ne perdra pas de temps à pirater votre téléphone pour contourner le deuxième facteur d'authentification - il sera trop occupé à pirater les centaines de millions de comptes Gmail qui n'utilisent pas deux -authentification par facteur. Un tel pirate n'est pas quelqu'un qui vous cible spécifiquement - c'est quelqu'un qui cible le monde entier.
Si vos données sont si précieuses qu'un pirate aussi puissant pourrait vous cibler spécifiquement, alors vous ne devriez vraiment pas placer vos données dans Gmail en premier lieu. D'ailleurs, vous ne devriez pas le mettre sur un ordinateur connecté à Internet.
Un mot de passe faible + authentification à deux facteurs peut-être toujours plus sûr qu'un mot de passe fort seul mais il sera moins sûr qu'un mot de passe fort + authentification à deux facteurs.
Tout dépend de votre faiblesse: si vous allez jusqu'au bout et rendez le mot de passe trivial, vous vous retrouvez effectivement avec une authentification à un facteur (le SMS de Google sur votre téléphone). Mais cela pourrait être plus sûr que votre mot de passe fort d'origine.
Tout d'abord le concept fondamental de TFA : - quelque chose que l'utilisateur sait (le mot de passe que vous utilisez) - quelque chose que l'utilisateur a (dans le cas de Google, c'est votre téléphone: ils vous envoient un code de vérification sur le numéro de téléphone que vous avez fourni)
Vous devez d'abord comprendre que, à en juger par ce que vous avez dit:
Mais taper ces mots de passe tout le temps est un vrai problème, surtout sur un téléphone ou une tablette.
cela signifie que vous utilisez la plupart du temps gmail depuis votre téléphone, donc si j'ai volé/ou pris votre téléphone pendant un certain temps - votre TFA est devenu juste OFA avec votre mot de passe. Je vous dirai encore plus que, dans certains pays, si vous avez des connexions avec des personnes qui travaillent dans des entreprises mobiles et ont un accès approprié - ils peuvent simplement donner à une personne votre numéro de téléphone. Une autre chose est que l'attaquant peut intercepter le processus d'authentification, ce qui signifie qu'un attaquant peut simplement prendre votre téléphone lorsque vous supposez recevoir un message. Après avoir ce paranoïaque je vais repartir d'une autre façon
Pensez-y un peu - TFA a été utilisé il y a longtemps et utilisé actuellement avec des millions de clients chaque jour, avec un espace de 10000 (nombre à 4 chiffres). Ceci est votre carte bancaire. À quelle fréquence votre carte a-t-elle été utilisée à mauvais escient pendant toute votre vie? Je suppose que pas beaucoup. Et je suis à peu près sûr que la plupart des gens préfèrent obtenir votre argent plutôt que de lire votre courrier électronique.
Un autre point - Google n'est pas la pire entreprise et ils s'assurent vraiment que vos données sont sécurisées (si quelqu'un ne le prouve pas - ils perdront face à leurs concurrents qui s'en assureront). Je suis donc presque sûr qu'ils gèrent tout correctement et que la raison pour laquelle ils ont implémenté TFA est de tirer parti des mots de passe bas.
Cela nous amène à l'un des problèmes les plus importants en matière de sécurité: vos mesures de sécurité doivent être adaptées au type d'informations que vous essayez de garder secrètes. Chaque fois que j'entends quelque chose comme: "J'utilise un mot de passe à 40 chiffres pour accéder à mes prévisions météo pour demain" ma question est pourquoi, je vais utiliser seulement 123 comme mot de passe? Que se passera-t-il si je l'obtiens - vous allez simplement créer un autre compte. Alors quel est le point. Bien sûr, c'est de l'exagération.
Mais si vous pensez que votre correspondance est si importante que quelqu'un va toujours votre téléphone et va forcer 16 caractères pour l'obtenir - très probablement gmail n'est pas bon pour vous, ainsi que très probablement que marcher dans la rue sans garde du corps comme bien.
Vous avez structuré votre question comme sa propre réponse.
Pouvez-vous vous détendre? Oui. Le déploiement d'un deuxième facteur ajoute de la sécurité.
Je serais prêt à parier le salaire de ma semaine prochaine que si vous ajoutez 2Factor et laissez tomber votre mot de passe de 32 à 31 caractères, vous n'avez pas perdu la sécurité par une marge appréciable. Je ne suis pas prêt à faire le même pari si vous laissez tomber la longueur du mot de passe à 2 caractères. Où est la frontière? Combien de caractères vaut 2F? C'est la question à laquelle je veux une réponse.
La question pertinente est de savoir combien pouvez-vous vous détendre? Quelle est la résilience de chacune des atténuations? Comment indépendant? Ce sont les questions d'argent.
C'est définitivement une question de confiance comme le souligne Henning, mais il y a un facteur important à ajouter:
Si l'authentification bidirectionnelle est basée sur un bronzage mobile, cela n'ajoute qu'une couche de sécurité supplémentaire vraiment si le site n'est pas accessible par le téléphone. Sinon, même si c'est deux couches, c'est vraiment une seule. Affaiblir un n'est donc pas une bonne idée.
Edit: vient de voir que CodesinChaos a déjà posté cette réponse.
Eh bien, c'est une préférence personnelle. Gmail n'a pas introduit d'authentification en deux étapes, afin que les utilisateurs puissent utiliser des mots de passe faibles. C'est là comme une couche de sécurité supplémentaire. Bien qu'il y ait de très rares chances d'avoir des problèmes avec un mot de passe faible avec une vérification en 2 étapes. Il existe une liste de codes de sauvegarde et de mots de passe spécifiques à l'application, au cas où l'utilisateur ne pourrait pas accéder à son téléphone. Mais j'aurais quand même utilisé un mot de passe fort, bien que ce ne soit pas celui qui met des millions de siècles à la force brute, 20-30 ans me suffisent. ;)
Si vous ne voulez pas taper votre mot de passe à chaque fois, vous pouvez utiliser un gestionnaire de mots de passe comme Keepass qui a une fonction de saisie automatique. Maintenant, tous mes mots de passe sont différents et au moins 20 caractères aléatoires.
Oui, en effet, ne rendez pas le mot de passe trop facile cependant, de sorte que vous vous retrouvez essentiellement avec une authentification à un facteur (c'est-à-dire le jeton).
Gmail et Dropbox utilisent OTP (mot de passe unique) comme deuxième facteur fourni à un téléphone mobile ou calculé sur un appareil que vous possédez - "ce que vous avez". C'est beaucoup plus sûr qu'un mot de passe mémorisé - "ce que vous savez".
Comme vous le faites remarquer, le seul scénario est le suivant: 1. Ce que vous avez - un téléphone portable ou un fob qui génère ou reçoit le OTP - est perdu ou volé. 2. Le mot de passe faible - ce que vous savez - est deviné ou forcé par brute dans N tentatives 3. Le générateur OTP et/ou le mécanisme de connexion ne refuse pas l'accès avant N tentatives.
À titre d'exemple, un de mes clients dispose d'un accès VPN à distance - l'ID de connexion étant l'e-mail (très facile à deviner) et un mot de passe composé de PIN à 4 chiffres concaténés avec un OTP à 6 chiffres . Si mon téléphone avec le générateur OTP devait être volé, le voleur devrait deviner le code PIN à 4 chiffres. Si l'accès à distance expire après 5 ou 6 tentatives, le calcul dit qu'il serait assez sécurisé.
Ce mécanisme serait exactement équivalent à un PIN sur votre téléphone que personne ne connaît. Si vous utilisez Gmail pour Apps ou Exchange, vous souhaiterez peut-être appliquer une stratégie PIN sur votre téléphone mobile, en refusant l'accès au message texte OTP ou au générateur.
Conclusion: un mot de passe faible (au moins 4 caractères/chiffres) et OTP (jeton à deux facteurs de 6 chiffres) fourniraient plus de protection contre la force brute qu'un simple mot de passe fort de 10 chiffres. Cependant, cela ne serait pas efficace à condition que le mot de passe faible puisse être socialement deviné par quelqu'un qui peut également avoir accès à votre téléphone portable ou à un FOB qui n'est pas protégé par un code PIN. c'est-à-dire un ami malveillant qui connaît votre date de naissance (mot de passe faible) et a également accès à votre téléphone mobile non protégé.
La vulnérabilité dans ces schémas de mot de passe en deux étapes est le canal de livraison, c'est-à-dire les fournisseurs de services sans fil, les réseaux de routage SMS, votre téléphone. Chacun de ceux-ci pourrait être attaqué pour intercepter le mot de passe à usage unique envoyé par Google .
Mais les attaques contre les comptes sont rarement strictement techniques et impliquent presque toujours le jeu d'un être humain quelque part dans la chaîne.
Aussi bon que soit le système de Google, Wired exécute un article décrivant une attaque qui annule entièrement ses protections.
Les attaquants ont usurpé l'identité d'un titulaire de compte sans fil pour ajouter un numéro de transfert au compte, puis ont sélectionné l'option "appelez-moi" pour recevoir le code, au lieu de SMS. Lorsque Google a appelé avec l'OTP, l'appel a été transféré vers le téléphone de l'attaquant et ils ont eu accès au compte Google.
Vous pouvez utiliser Keepass à la place, qui a été porté sur divers appareils mobiles. Configurez-le de sorte que vous n'ayez qu'à entrer un mot de passe fort (ou plus faible, car la base de données est locale) de temps en temps et qu'il insère automatiquement les mots de passe forts par exemple. Gmail.
Si votre appareil prend en charge les claviers USB-A, vous pouvez même envisager d'utiliser un Yubikey ( nano ) avec un mot de passe statique (ou dans sa valeur par défaut OTP mode, par exemple lié à LastPass ). Ensuite, votre seul inconvénient (et pourtant votre sécurité) serait d'appuyer sur le petit bouton.
edit Puisque le Yubikey NEO a NFC support, vous pouvez également l'utiliser sur le téléphones respectifs. J'ai trouvé quelques instructions pour l'utiliser avec LastPass ici