Les mots de passe sont-ils suffisamment robustes pour protéger vos Bitcoins ?

À l’ère des piratages et des scandales, les mots de passe sont-ils vraiment capables de protéger vos bitcoins ?

Chaque adresse Bitcoin possède une clé privée correspondante, qui permet au propriétaire de dépenser les bitcoins qu'elle contient, mais cette clé privée doit également être protégée.

La clé privée de votre adresse Bitcoin publique est cruciale, car sans elle, vous perdre l'accès à vos pièces. Vous ne pouvez cependant T KEEP cette clé en tête, car il s'agit d'une longue chaîne de charabia alphanumérique, qui est plutôt difficile à mémoriser.

Certaines personnes protègent leurs bitcoins en les stockant dansportefeuilles en papier, en les intégrant dans un code QR imprimé pouvant être scanné si nécessaire. C'est une bonne option, mais elle rend la clé privée physiquement vulnérable au vol, au feu ou au café.

Une autre option consiste à utiliser des mots de passe chiffrés, une fonctionnalité offerte par certains portefeuilles Bitcoin . Les mots de passe peuvent également servir à protéger d'autres actifs importants liés au Bitcoin, comme les comptes sur une plateforme d'échange. Cependant, le problème est que les mots de passe ne sont T non plus très sûrs : ils sont souvent bien plus faciles à déchiffrer qu'on ne le pense.

Informations mémorables

Les logiciels de craquage de mots de passe utilisent des attaques par dictionnaire pour accéder aux mots de passe par force brute, en essayant des millions de combinaisons de mots connus. Il est donc naïf d'utiliser « mot de passe », « 12345 » ou le nom de votre chien comme mot de passe – quelqu'un, quelque part, l'aura probablement sur une liste, à moins que votre chien ne s'appelle « 8%tRuiy0P » plutôt que « Buffy ».

Ce Article d'Ars Technicaexplique comment des pirates de mots de passe relativement peu talentueux peuvent utiliser des dictionnaires pour essayer de reconstituer les phrases de passe des utilisateurs.

Mais attendez – votre bourse en ligne ou votre portefeuille Web crypte votre mot de passe, vous êtes donc déjà protégé, n’est-ce pas ?

N'en soyez T si sûr. De nombreuses applications qui stockent un mot de passe utilisent ce qu'on appelle une fonction de hachage, qui soumet le mot de passe à un calcul mathématique pour produire une chaîne de caractères appelée hachage. Le logiciel stocke ensuite ce hachage.

[post-citation]

Chaque fois que quelqu'un essaie d'accéder à quelque chose en saisissant un mot de passe (par exemple, une clé privée Bitcoin ou un compte sur une bourse), le logiciel exécute le mot de passe via la même fonction de hachage, puis compare la chaîne produite avec la chaîne qui a été stockée à l'origine.

Aucun mot de passe ne produirait le même hachage. Ainsi, théoriquement, seules les personnes ayant accès au mot de passe pourraient produire une correspondance.

Cependant, comme un mot de passe particulier produira toujours le même hachage, les pirates de mots de passe peuvent simplement hacher tous les mots de leurs dictionnaires, pour produire ce qu'on appelle une table arc-en-ciel.

Il s'agit d'une collection de millions de hachages, recoupés avec les mots de passe qui les ont générés. C'est ainsi que les voleurs de mots de passe aiment ceux quia volé la liste des hachages de LinkedInIl est possible de déchiffrer les mots de passe. Certaines techniques, comme le salage des mots de passe et l'utilisation de mots de passe plus longs, peuvent rendre cette recherche beaucoup plus difficile, mais elles restent utiles aux pirates de mots de passe.

Même les mots de passe ou phrases secrètes apparemment astucieux que vous utilisez pour protéger votre portefeuille Bitcoin peuvent être vulnérables aux attaques. Utiliser des lettres aléatoires ou remplacer un « l » ou un « i » par le chiffre « 1 » ? Oubliez ça. Le logiciel dispose de règles pour tester cela.

Certaines personnes plus avisées utiliseront deux ou trois mots enchaînés, peut-être avec un chiffre ou une lettre égarée. « Angrybadger1125” Cela ressemble à un excellent mot de passe, n'est- ce pas ?Quand j'étais petit, j'ai toujours voulu être astronaute« Cela semble encore mieux. Mais ces mots de passe ne sont T invincibles.

Puissance et efficacité

Le problème, commedécritpar Joseph Bonneau de l'Université de Cambridge, etcitéSelon le gourou de la sécurité Bruce Schneier, le craquage de mots de passe est aujourd'hui fonction de deux choses : la puissance et l'efficacité.

La première consiste à consacrer de la puissance de calcul à quelque chose (travailler plus dur), tandis que la seconde implique d’utiliser des modèles de correspondance de mots plus sophistiqués (travailler plus intelligemment).

Certaines personnes ont mêmesites Web minéspour essayer de trouver des mots et des phrases de passe liés à des centres d'intérêt particuliers qui peuvent être ajoutés aux listes et utilisés pour enrichir ces énormes dictionnaires.

« Les mots de passe sont la démocratie des technologies d'authentification – ils sont la pire chose disponible, à l'exception de tout le reste », déclare Dan Kaminsky, chercheur en sécurité.le plus célèbre pour avoir trouvéce qui équivalait à une vulnérabilité zero-day pour l'ensemble du Web sous la forme d'une vulnérabilité DNS en 2008.

Alors, si vous pensiez que votre mot de passe constituait un obstacle à l'accès à votre clé privée et à une armée d'escrocs en ligne, détrompez-vous. Mais le fait est qu'ils sont susceptibles de dissuader suffisamment de personnes pour qu'ils restent utiles.

« La réalité est que les mots de passe ont de fortes chances de fonctionner sur le terrain, c'est pourquoi nous en sommes accros », explique Kaminsky.

Mike Hearn

, ONEun des CORE développeurs de Bitcoin, partage cet avis. Il donne l'exemple d'un logiciel malveillant de vol de portefeuille qui circulait il y a quelque temps.

L'ajout d'un chiffrement de portefeuille par mot de passe a mis fin à ce phénomène, même si, en théorie, cela ne devrait T très bien fonctionner. Des logiciels malveillants bien conçus peuvent enregistrer vos frappes et voler votre mot de passe, tandis que des mots de passe faibles peuvent être attaqués par force brute.

Il poursuit : « Mais en pratique, cela semble avoir placé la barre suffisamment haut pour gagner du temps et permettre le développement de techniques plus puissantes, comme le Trezor. »

Trezor

Il s'agit d'un périphérique matériel conçu pour stocker une clé principale permettant d'accéder à votre portefeuille Bitcoin , sans jamais divulguer aucun secret à la machine hôte. Hearn espère que ce produit, ou ses successeurs, évoluera vers des outils de sécurité plus généraux à l'avenir.

« Un écran, un processeur et des boutons sécurisés sous forme portable sont exactement ce qu'il faut pour résoudre de nombreux problèmes de sécurité délicats. »

Kaminsky convient également que la monnaie matérielle construite pour protéger les utilisateurs de Bitcoin sera utile pour d'autres problèmes de sécurité : « Je n'ai rien à recommander directement, mais je m'attends à ce que cela change dans quelques mois », dit-il.

Authentification à deux facteurs

Bien sûr, le matériel a déjà été utilisé à des fins de protection. L'authentification à deux facteurs (un élément que vous connaissez et un élément que vous possédez) est un pilier de la sécurité conventionnelle.

La biométrie (ce que vous êtes) a également été utilisée pour authentifier les personnes, leur donnant accès à des ressources privilégiées. Mais ces deux méthodes posent aujourd'hui de nombreux problèmes, tous deux liés à la NSA.

Des rapports ont récemment fait surface

que les appareils iOS d'Apple sont sujets aux attaques de la NSA, qui a développé un logiciel malveillant qui peut être implanté sur ONEun des appareils de l'entreprise et utilisé pour accéder à son fonctionnement interne.

Il n'est T encore clair si cela permettrait à un attaquant d'accéder aux informations biométriques des empreintes digitales sur le dernier iPhone, mais alors, les pirates ont déjà compromis cela, ce qui le rend largement discutable.

Ce qui est plus inquiétant, c'est que la Technologies de cryptage développée par RSA est maintenant suspectéêtre exploités par la NSA, mettant en danger de vastes pans de l'infrastructure actuellement utilisée.RSA nie toute collusion, mais cela n'est T de bon augure pour au moins certaines formes couramment utilisées de 2FA.

« La 2FA est plus importante que la RSA », proteste Kaminsky, ajoutant :

« Vous pourriez tout aussi bien vous demander si la sécurité est terminée, car nous savons maintenant ONE société de sécurité savait peut-être ou non (nous n'en avons aucune idée) qu'elle était utilisée de cette manière. »

C'est vrai, mais cela soulève une question : si RSA était victime d'une porte dérobée, à qui d'autre la NSA avait-elle accès ? Et à qui pouvons-nous faire confiance en matière de protection 2FA ?

« Il existe plusieurs propositions pour la 2FA, dont beaucoup sont open source (comme celle de Google).Authentificateur) et donc moins susceptible de cacher une porte dérobée », explique Sergio Lerner, expert en sécurité et contributeur régulier aux efforts de sécurité de Bitcoin. Le logiciel de Trezor est également open source.

« Et si vous craignez que l'authentification à deux facteurs ne soit pas suffisante, vous pouvez utiliser l'authentification à trois facteurs (un jeton, une application mobile OTP et un mot de passe) ! » explique-t-il. Cette authentification multicanal hors bande est une fonctionnalité deLe portefeuille sécurisé de BitGo.

Le chat et la souris

La sécurité n'est jamais un jeu à somme nulle. C'est un jeu du chat et de la souris permanent, entre ceux qui tentent de protéger les systèmes et ceux qui tentent de les pirater.

Il existe des alternatives aux mots de passe qui peuvent fonctionner, mais la transparence de la conception est essentielle. Et les mots de passe ne sont pas près de disparaître, ce qui signifie que nous allons devoir trouver un moyen de les utiliser correctement.

Schneier a ici de bons conseils.Quand j'étais petit, j'ai TOUJOURS voulu être pilote de ligne. ce n'est T un bon choix, mais vous pouvez en faire un mot de passe peu susceptible de figurer dans une table, en prenant les premières lettres des mots, à condition que le logiciel ou l'application en ligne autorise le format qu'il produit.

« WIwab,IAw2ba@p”devrait les KEEP au moins un peu plus longtemps (ne l'utilisez T maintenant - choisissez le vôtre), mais il est toujours facile à retenir si vous connaissez la phrase dont il vient.

Si vous stockez suffisamment d'argent dans une adresse Bitcoin pour qu'il soit douloureux de la perdre, et que l'authentification à deux facteurs open source n'est T disponible, de telles précautions semblent valoir la peine, n'est-ce T ?

Image de cadenasvia Shutterstock