Sécurité des mots de passe, Salt, et Wordpress

Christoph Wille :

A hash is a numerical value of fixed length which unequivocally identifies files of arbitrary legth. An example of a hashing algorithm is SHA1, which already figured as the topic of an ASP article (German). The reader might now say that saving the password as a hash would be sufficient, but why is this wrong?

The reason for this is that usually so called ‘Dictionary Attacks’ are run against hashed passwords - a good example being the MD5 hashed passwords of NT4. This is a Brute Force attack: all entries in a dictionary were hashed using MD5 and those hash values then are compared against the password database. Have a guess how quickly some passwords are found this way.

The intention behind a Salted Hash is to have this type of attack fail by attaching a random value - the so called salt - to each password and only then compute the hash over password and salt. For comparison of the password the salt has to be stored alongside the salted hash, but the only vector of attack is to re-code the dictionary for each individually stored password with the salt - and this takes quite a long time.

Cette explication très simple montre la faiblesse du système couramment utilisé qui consiste à hasher les mots de passe et stocker directement ces hashs dans la base de données. Une solution pour ajouter une sécurité supplémentaire consiste donc à «saler» les hashs, pour les rendre unique.

Ce principe de Salt est entrain d’être intégré à Wordpress qui souffrait d’une sécurité vraiment douteuse jusque là1 — j’en suis le premier étonné.

Dans la version actuelle (2.5.1), la sécurité est un peu améliorée avec l’usage d’une clé secrète, mais il faudra attendre la prochaine version (2.6) pour que le principe de Salting soit poussé à un stade plus sérieux, avec l’utilisation de trois clés secrètes.

  1. Tout est relatif bien sûr. Néanmoins, des failles d’une faible complexité ou de simples problèmes de logique de sécurité ont été révélées dans des versions très récentes de Wordpress. 
Cette note vous a plu ? Abonnez-vous à NoPhysic par RSS ou mail.

Message express à l’auteur