Journal Protéger ses passwords de façon statistique

Posté par  (site web personnel) .
Étiquettes : aucune
0
8
jan.
2008
Vous êtes un admin consciencieux et vous avez toujours le souci de vos utilisateurs. Vous les maternez, vous les chouchoutez, vous les protégez...ce sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard qui ferait passer une maman-ourse pour un vulgaire saumon de rivière.

Si l'un de ces chers users se fait subtiliser son mot de passe comment allez vous pouvoir faire pour défendre ses précieuses données contre l'ignoble pirate sans foi ni loi détenteur du sésame ?

C'est ici qu'intervient la technique d''analyse statistique de l'entrée des passwords au clavier => http://www.ibm.com/developerworks/opensource/library/os-keys(...)

Dans cet article vous allez pouvoir modifier le programme xev (X event viewer) qui s'occupe de la capture des évènements comme les frappes clavier.
Une fois cela fait il vous suffira de passer ces évènements par l'intermédiaire d'un pipe qui alimentera les scripts perl listés dans l'article pour analyser statistiquement la frappe des mots de passe.
Ainsi vous aurez des chances de déceler l'infâme imposteur se faisant passer pour votre user et de lui interdire l'accès aux données.

Les scripts permettent de vérifier le temps total d'entrée du password (qui pour un utilisateur légitime est remarquablement constant). On peut aussi analyser le temps entre chaque frappe clavier : si par exemple le user entre les lettres rapidement mais les chiffres lentement (il a un laptop et doit appuyer sur shift à chaque fois) alors que le pirate entre les chiffres rapidement (il a un pavé numérique) alors l'analyse le décéléra.

En définitive l'analyse statistique des saisies de passwords permet d'ajouter une couche de protection pour vos users qui s'apparente à la biométrie.
Cette technique n'est pas nouvelle ( http://en.wikipedia.org/wiki/Keystroke_dynamics )
mais les scripts disponibles sur le site ibm permettent de se lancer facilement dans l'implémentation d'une telle solution.
  • # Alcootest ?

    Posté par  . Évalué à 10.

    Pas mal, ça peut aussi servir de test pour empêcher de se loguer quand nos gestes sont... un peu moins sûrs. On devrait faire pareil pour les bagnoles.

    Plus sérieusement, il peut y avoir plein de raisons non pertinentes pour lesquelles le login sera injustement refusé : achat d'un nouveau clavier, une main dans le plâtre, manque de sommeil, nouvelle chaise, nouveau bureau, nouveau cerveau (ah non, là, c'est voulu), vieux clavier qui se blo
    • [^] # Re: Alcootest ?

      Posté par  . Évalué à 10.

      Plus de bras, plus de connexions.

      _o_
    • [^] # Re: Alcootest ?

      Posté par  . Évalué à 8.

      il y a aussi quand on fait quelque chose d'autre en même temps, ou qu'on a une main occupée : téléphone, lavage de dents, etc.
    • [^] # Re: Alcootest ?

      Posté par  (site web personnel) . Évalué à 3.

      Quand on mange en même temps (ça m'arrive souvent)
      • [^] # Re: Alcootest ?

        Posté par  (site web personnel) . Évalué à 1.

        A ce moment tu poses ce que tu étais en train de manger et tu retapes ton password correctement. Le pirate lui ne pourra pas le faire...ce qui démontre que cette technique est potentiellement intéressante.
        • [^] # Re: Alcootest ?

          Posté par  . Évalué à 3.

          Car il est bien connu que les hackers (version médias) ne peuvent pratiquer qu'avec une part de pizza à la main ! (d'autant plus qu'ils ne mangent pas de quiche)
        • [^] # Re: Alcootest ?

          Posté par  (site web personnel) . Évalué à 2.

          Mais je n'ai pas envie de reposer ma bouffe et foutre plein de graisse sur mon bureau ! Les admins ne vont pas me dire ce que je dois manger non plus !
  • # ouais mais...

    Posté par  . Évalué à 1.

    Est-ce que ça marche aussi si l'utilisateur vient de se casser les 2 mains et est obligé de frapper avec une paille ?

    Ah, ok, j'ai compris ==> []
    • [^] # Re: ouais mais...

      Posté par  . Évalué à 4.

      Bon d'accord, ma blague est pourrie et en plus elle à été faite juste avant moi (quel idée de répondre au téléphone en plein postage de commentaire).

      Après le plussage 'automatique' des commentaires de certains journaux [http://linuxfr.org/~plic/25953.html], amis du plussage/moinsage, vous avez la un commentaire que vous pouvez 'inutiler'.
  • # Mouais

    Posté par  (site web personnel) . Évalué à 4.

    En gros le jour où tu te seras fait mal au doigt, tes statistiques seront divergentes et tu ne pourras plus te logguer. Pas top quand même.
    Moins grave mais pas marrant non plus, si j'ai une part de pizza dans la main, je le tape d'une main mon mot de passe, là je vais être obligé de relacher ma pizza pour respecter le timing habituel ;)

    Je passe sur le fait que ça ne fonctionnera que pour le login physique de base, pas le sudo, les logins distants, etc.
    • [^] # Re: Mouais

      Posté par  . Évalué à 3.

      on pourrait toujours faire le mot de passe habituel avec ces statistiques, et une "phrase qui est tellement longue que tu ne vas pas la taper chaque jour" qui sert de backdoor roue de secours en cas de crise...

      Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

    • [^] # Re: Mouais

      Posté par  . Évalué à 4.

      Et quid du vol de mot de passe durant la phase d'observation/apprentissage des scripts ?
      Parce que pour comparer statistiquement une tentative avec des logins légitimes, il faut avoir un paquet de logins légitimes (et être sûr que ces logins soient légitimes et pas que une fois sur 2 ce soit un méchant qui rentre avec sa frappe propre).
      • [^] # Re: Mouais

        Posté par  (site web personnel) . Évalué à 5.

        J'avais vu un article sur un truc comme ça dans un linux mag ou équivalent.

        Y'avait une astuce jolie : les données de temps entre chaque caractère étaient stoqués pour comparaison, mais chiffrés en utilisant le mot de passe comme clé de chiffrement symétrique.

        Donc, l'algo de vérification du mot de passe, c'était en gros

        if hash(passwd) == hash dans /etc/passwd
        dechiffrer les stats avec passwd
        comparer timing effectif avec stats
        else
        jetter l'utilisateur
        end if

        ce qui fait que pour récupérer les stats en question, il faut que l'attaquant ai corrompu la machine et qu'il connaisse le mot de passe. Ça limite pas mal la casse.
  • # ah, ça n'ira pas, j'ai que des apss différents

    Posté par  (site web personnel) . Évalué à 3.

    Bonjour

    Je n'ai que des mots de passes différents, d'au moins 8 caractères, avec des chiffres, des majuscules et des minuscules....

    Pour ceux que j'utilises souvent, je les connais par cœur.

    Pour les autres, ils sont noté mnémotechniquement sur un carnet, ce qui permet de rendre la tache plus difficile à celui qui s'emparera de mon carnet.

    Donc, pour les pass que j'utilise rarement, il ne faudrait pas appliquer ce système. Donc, si c'est sur une machine dont je ne contrôle pas l'administration et que le sys-admin utilise ce procédé... je ne pourrai plus me connecter.

    Je serai alors obligé d'apprendre par cœur mon mot de passe, ce qui m'encouragerai à ne plus le changer. (mon carnet est couvert de ratures, et c'est parfois des caractères rayés qui sont de nouveau utilisés...)

    Je pense que le plus grave, en terme de sécurité, c'est les mots de passes identiques, et, simples.

    Pour certain de mes clients, je connais leur mot de passe à leur messagerie électronique, instantanée, de certains sites (voir tous...quand c'est le même qui est systématiquement utilisé).

    Le bon truc pour un pirate, ce serait de créer un service en ligne vachement bien, une sorte de face de livre, attendre que la cible s'enregistre (repérée par son IP...) et ensuite d'utiliser les mots de passes enregistrés....

    Cela dit, les cartes bancaire n'ont qu'un code à 4 chiffres, qui ne change pas....

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: ah, ça n'ira pas, j'ai que des apss différents

      Posté par  (site web personnel) . Évalué à 3.

      Le bon truc pour un pirate, ce serait de créer un service en ligne vachement bien, une sorte de face de livre, attendre que la cible s'enregistre (repérée par son IP...) et ensuite d'utiliser les mots de passes enregistrés....
      Ça marche aussi en crackant le moins sécurisé des services que la cible utilise.

      pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

  • # Poliçage

    Posté par  (site web personnel) . Évalué à 0.

    Plus que des soucis techniques, ce qui me pose problème, c'est que ça permet d'identifier qui utilise un ordinateur après le login. Si le système est conçu pour que chaque utilisateur ait réellement sa session, ça peut se défendre, mais dans le cas contraire, ça me paraît être une grave intrusion dans la vie privée.

    Non au flicage, oui à l'anonymat !
    • [^] # Re: Poliçage

      Posté par  . Évalué à 5.

      euh en même temps, si un gars à pas de compte, il doit pas se logger, et si un gars à un compte, il doit l'utiliser et pas celui du voisin.
  • # Dans admin, il y a BOFH

    Posté par  (site web personnel) . Évalué à 8.

    Personne ne l'a encore dit, mais...

    [vos utilisateurs] sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard

    Hein ? Pas du tout. Tu voulais sans doute dire "pulsion sadique" ?
    • [^] # Re: Dans admin, il y a BOFH

      Posté par  . Évalué à 4.

      Il l'a dit à demi-mots :

      ce sont un peu vos enfants et vous ressentez une pulsion protectrice à leur égard qui ferait passer une maman-ourse pour un vulgaire saumon de rivière.


      Vous savez tous avec quelle délicatesse les mamans ourses traitent les saumons de rivière ! :-)
      • [^] # Re: Dans admin, il y a BOFH

        Posté par  . Évalué à 3.

        L'administrateur et le berger de son troupeau d'utilisateur.

        Et comme chacun sait, un berger, ça tond ses moutons tant que la laine pousse, et quand il ne font plus de laine, il les mange.
  • # Test ADN

    Posté par  . Évalué à 8.

    Moi, quand je serai admin, j'imposerai un test ADN en cas de perte de password.

    Et pour être bien sûr, il me faudra un gros échantillon d'ADN pour tester : un pied, une oreille, un doigt pour les enfants. Si l'ADN correspond, on remplacera le mot de passe par une RFID implantée directement dans le cerveau pour être sûr.
  • # SHIFT

    Posté par  . Évalué à 4.

    Quoi? Vous devez appuyer sur SHIFT pour écrire les chiffres?
    • [^] # Re: SHIFT

      Posté par  (site web personnel) . Évalué à 2.

      C'est la un vrai problème.
      Ma machine principale est en qwerty clavier japonais.
      Mes laptops sont en azerty PC et azerty Mac.
      Ma machine au boulot est en qwerty US.

      Selon la machine d'où je fais SSH, mon mot-de-passe va mettre un temps carrément différent, en raison de l'emplacement des touches sur ces claviers. Donc, en gros, je pourrais plus jamais me logguer chez moi quoi...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.