FLASH INFORMATIQUE FI



Vérification de la qualité du mot de passe Gaspar




Martin OUWEHAND


Le mot de passe Gaspar donne accès à un nombre grandissant d’applications : e-mail (boîte aux lettres Exchange), Active Directory (profils itinérants et espace de stockage), toutes les applications contrôlées par une authentification Ldap (logins Linux/Unix, IS-academia) ou Tequila. Dans tous les cas, il s’agit de protéger par ce mot de passe des données confidentielles (nos données, notre courrier), mais parfois il protège même des ressources ayant une valeur en espèces conséquente et quantifiable, par exemple dans le cas du système de gestion des achats.

Bon et mauvais mot de passe

Il est donc important que le mot de passe Gaspar soit de bonne qualité. Le problème auquel il est fait allusion est le suivant : alors qu’il y a en théorie environ deux cent mille milliards de mots de passe de huit caractères alphanumériques (majuscules, minuscules et chiffres), beaucoup d’utilisateurs choisissent des mots de passe basés sur des prénoms, des mots simples ou des dates de naissance, se restreignant ainsi à un nombre de possibilités beaucoup plus petit. Il devient alors envisageable pour un pirate, en s’aidant de dictionnaires de quelques dizaines de milliers de mots courants, d’essayer de deviner le mot de passe d’une cible avec un tel mot de passe faible, ceci avec une probabilité appréciable de réussir.
Il existe des programmes aidant le pirate dans une telle attaque dont le plus réputé est John the Ripper. La justification qu’un tel programme soit si ouvertement publié est qu’il est également utilisé par les responsables de la sécurité informatique, pour vérifier que les mots de passe des utilisateurs de moyens informatiques de son site soient de bonne qualité. John essaye non seulement chaque mot du dictionnaire, mais aussi toute une série de variantes, y compris celles basées sur les substitutions de caractères les plus populaires (a->@, e->&, i->1 ou |, etc.)

Vérification du mot de passe Gaspar

Pour éviter ce problème, nous avons activé depuis mars de cette année une vérification lors de l’initialisation ou du changement des mots de passe Gaspar, destinée à signaler à l’utilisateur si et pourquoi le mot de passe qu’il a choisi est trop faible, et si c’est le cas, à exiger qu’il en essaye un autre. Le test pour déterminer la qualité du mot de passe est basé sur John the Ripper : la vérification doit assurer que John n’aurait pas trouvé le mot de passe proposé, en se basant sur des dictionnaires courants (français, anglais, allemand, italien, espagnol et prénoms).

Tous les mots de passe devront être vérifiés

Si votre mot de passe date d’avant mars 2009, il n’a pas subi cette vérification et nous vous invitons à passer sur le site gaspar.epfl.ch pour réinitialiser votre mot de passe. C’est sans doute une bonne occasion pour choisir un nouveau mot de passe, bien que rien n’empêche de garder votre ancien mot de passe s’il passe avec succès la vérification.
Dans tous les cas, nous aimerions que tout le monde ait vérifié ou changé son mot de passe avant la fin d’octobre 2009, et nous enverrons des rappels à ceux qui ne l’auraient pas fait.

Votre feed-back est le bienvenu

Il n’est pas facile de mettre en place à travers la logique binaire du oui/non propre à l’informatique un test qui vérifie la notion somme toute assez subjective de bon mot de passe (un problème similaire existe dans la détection automatisée du spam). Nous serons donc reconnaissants à ceux qui constatent des faiblesses ou des décisions étranges de ce module de vérification, de le signaler à l’adresse e-mail securite@epfl.ch.



Cherchez ...

- dans tous les Flash informatique
(entre 1986 et 2001: seulement sur les titres et auteurs)
- par mot-clé

Avertissement

Cette page est un article d'une publication de l'EPFL.
Le contenu et certains liens ne sont peut-être plus d'actualité.

Responsabilité

Les articles n'engagent que leurs auteurs, sauf ceux qui concernent de façon évidente des prestations officielles (sous la responsabilité du DIT ou d'autres entités). Toute reproduction, même partielle, n'est autorisée qu'avec l'accord de la rédaction et des auteurs.


Archives sur clé USB

Le Flash informatique ne paraîtra plus. Le dernier numéro est daté de décembre 2013.

Taguage des articles

Depuis 2010, pour aider le lecteur, les articles sont taggués:
  •   tout public
    que vous soyiez utilisateur occasionnel du PC familial, ou bien simplement propriétaire d'un iPhone, lisez l'article marqué tout public, vous y apprendrez plein de choses qui vous permettront de mieux appréhender ces technologies qui envahissent votre quotidien
  •   public averti
    l'article parle de concepts techniques, mais à la portée de toute personne intéressée par les dessous des nouvelles technologies
  •   expert
    le sujet abordé n'intéresse que peu de lecteurs, mais ceux-là seront ravis d'approfondir un thème, d'en savoir plus sur un nouveau langage.