HASHER et SALER les mots de passe ?
Merci à Mathieu Godard pour sa contribution le 16/12/2021
Francais
Vous l'avez sûrement vu passer dans vos fils d'actu twitter début octobre : la plateforme Twitch a fait fuiter plus de 125 GO de données. Code source, salaires des streamers, secret pour accéder à la base de données, ... bref c'était chaud et il y a eu beaucoup de réactions sur les réseaux sur les sujets de cybersécurité, cryptographie, etc.
Le point positif de cette histoire c'est que ça nous a donné une idée de vidéo 🤓 Du coup, on s'est donné pour défis dans cette vidéo de tout vous expliquer en 15 minutes (15mn36 pour les chipoteurs).
Déjà pour commencer, est-ce que vous saviez que la cryptographie ça remonte au temps des romains ? En fait ils utilisaient des espèces de ceintures en cuire ou des tables en pierre et ils décalaient les lettres pour faire passer des messages sans que les ennemis ne puissent les comprendre.
Pendant l'écriture de la vidéo on a lancé un petit jeu avec tous les collègues : on leur a fait hasher le prénom et le nom de leur collègue préféré (ça a mis un peu de piment dans nos daily meetings) 🌶 Et on s'en est resservie pour illustrer les méthodes de hashage dans la vidéo.
Puis on a été faire un tour sur haveibeenpwned.com, c'est un site qui te dis quels sites ont leaké des données sur toi et qui t'explique la raison du leak. Par exemple, en 2016, Linkedin avait fait leaker plus de 164 millions de mots de passe parce qu'ils avaient des SHA1 non salés.
Et c'est une super transition pour vous parler des grains de sel : alors clairement on est pas sur le sel La Baleine, que ce soit bien clair 🧂 En fait un grain de sel c'est une valeur qu'on ajoute avant ou après une données pour rendre plus compliqué le travail des hackeurs. Chaque donnée possède un grain de sel différent. Du coup, à chaque fois, les hackeurs doivent regénérer des rainbow tables différentes !
Mais vous me direz : c'est quoi une rainbow table ? Et bien ça on vous l'explique aussi dans la vidéo et on vous parle également des dictionnaires, avec lesquels il ne faut pas les confondre.
Si vous avez lu jusqu'ici, bah merci 💙 On vous souhaite un bon visionnage, n'hésitez pas à nous faire vos retours, à nous raconter des histoires avec des grains de sel et des tables arc-en-ciel 🌈
BYE !
-
Chapitres :
00:00 : Introduction
00:30 : Chapitre 1 - Le chiffrage des romains
02:58 : Chapitre 2 - Le hashage c'est quoi ?
04:44 : Chapitre 3 - Comment on fait une méthode de hashage ?
08:31 : Chapitre 4 - Que se passe-t-il quand les mots de passe fuitent ?
09:43 : Chapitre 5 - Les rainbow tables
11:40 : Chapitre 6 - Ajoutons du sel !
14:00 : Conclusion
Le point positif de cette histoire c'est que ça nous a donné une idée de vidéo 🤓 Du coup, on s'est donné pour défis dans cette vidéo de tout vous expliquer en 15 minutes (15mn36 pour les chipoteurs).
Déjà pour commencer, est-ce que vous saviez que la cryptographie ça remonte au temps des romains ? En fait ils utilisaient des espèces de ceintures en cuire ou des tables en pierre et ils décalaient les lettres pour faire passer des messages sans que les ennemis ne puissent les comprendre.
Pendant l'écriture de la vidéo on a lancé un petit jeu avec tous les collègues : on leur a fait hasher le prénom et le nom de leur collègue préféré (ça a mis un peu de piment dans nos daily meetings) 🌶 Et on s'en est resservie pour illustrer les méthodes de hashage dans la vidéo.
Puis on a été faire un tour sur haveibeenpwned.com, c'est un site qui te dis quels sites ont leaké des données sur toi et qui t'explique la raison du leak. Par exemple, en 2016, Linkedin avait fait leaker plus de 164 millions de mots de passe parce qu'ils avaient des SHA1 non salés.
Et c'est une super transition pour vous parler des grains de sel : alors clairement on est pas sur le sel La Baleine, que ce soit bien clair 🧂 En fait un grain de sel c'est une valeur qu'on ajoute avant ou après une données pour rendre plus compliqué le travail des hackeurs. Chaque donnée possède un grain de sel différent. Du coup, à chaque fois, les hackeurs doivent regénérer des rainbow tables différentes !
Mais vous me direz : c'est quoi une rainbow table ? Et bien ça on vous l'explique aussi dans la vidéo et on vous parle également des dictionnaires, avec lesquels il ne faut pas les confondre.
Si vous avez lu jusqu'ici, bah merci 💙 On vous souhaite un bon visionnage, n'hésitez pas à nous faire vos retours, à nous raconter des histoires avec des grains de sel et des tables arc-en-ciel 🌈
BYE !
-
Chapitres :
00:00 : Introduction
00:30 : Chapitre 1 - Le chiffrage des romains
02:58 : Chapitre 2 - Le hashage c'est quoi ?
04:44 : Chapitre 3 - Comment on fait une méthode de hashage ?
08:31 : Chapitre 4 - Que se passe-t-il quand les mots de passe fuitent ?
09:43 : Chapitre 5 - Les rainbow tables
11:40 : Chapitre 6 - Ajoutons du sel !
14:00 : Conclusion