#sensibilisation_à_la_cybersécurité Qu'est-ce que le salage?

43 0 0 0

Pour comprendre le salage, nous devons d’abord savoir ce qu’est le hachage.

En cryptographie, le hachage est une fonction à sens unique qui prend une entrée (données) et la sortie est une valeur fixe appelée valeur de hachage ou checksum ... La taille de la valeur de hachage dépend de l'algorithme de la fonction de hachage utilisé. Toute modification des données d'entrée modifiera la valeur de hachage, même si cette modification est d'un bit. '

Remarque: Le hachage est un sens unique qui fait la différence entre le hachage et le chiffrement, une fonction bidirectionnelle, ce qui signifie que vous pouvez connaître la valeur d'entrée à partir de la sortie, ce qui ne peut pas être fait en hachage.


Exemple d’algorithmes de hachage: MD5, SHA1, SHA2

002952drnrbdx2irnbrnxa.png? 233653y3szfzs

143953uvlst97gl9bbuttu.png? 143934kv940gz


Remarque: les algorithmes MD5 et SHA1 sont faibles, car ils sont vulnérables à la vulnérabilité de collision. La vulnérabilité de collision est simplement que deux entrées différentes peuvent avoir la même valeur de hachage de résultat qui n'est pas acceptée ... Il est recommandé d'utiliser SHA2.

144244i8olpx2ri8lawx0y.png? Sa.PNG


Exemples d'utilisation du hachage:

1- Utilisé pour vérifier l’intégrité des données envoyées en hachant les données et en calculant la valeur de hachage, puis envoie les données avec cette valeur de hachage au destinataire. Le destinataire reçoit les données et calcule le hachage avec le même algorithme, puis compare le résultat de hachage avec la valeur de hachage reçue et si le résultat est identique, nous pouvons confirmer que ces données n'ont pas changé pendant la transmission.

144459gjajc4ynzhbghtac.png? 144431wom6ui0

2- Les valeurs de hachage sont utilisées pour vérifier l’intégrité des sources de logiciels téléchargées et pour s’assurer que s’ils contiennent des logiciels malveillants ... Lorsque vous téléchargez un logiciel à partir d’un site Web légitime, vous pouvez en trouver la valeur de hachage de sorte assurez-vous que ce logiciel est légitime lorsque vous le téléchargez.

144916fms2w6gw04gx7m27.png? 144855qup60tg


3- Lorsqu'un périphérique ou un système d'exploitation utilise des mots de passe pour authentifier les utilisateurs, il ne stocke pas le mot de passe lui-même mais stocke la valeur de hachage du mot de passe ... Lorsque l'utilisateur s'authentifie et écrit son mot de passe, la valeur de hachage de Ce mot de passe est calculé, puis comparé aux valeurs de hachage de mot de passe stockées. S'il correspond, l'authentification a réussi.


Remarque: sous Linux, les mots de passe sont stockés sous forme de hachage dans /etc/shadow et dans windows, ils sont stockés dans un fichier SAM.


Alors, quel est le salage et pourquoi nous en avons besoin? C'est notre sujet principal :-)


Certaines attaques sont utilisées pour authentifier des utilisateurs non légitimes afin qu'ils puissent accéder à des ressources auxquelles ils n'ont pas le droit d'accéder. Une attaque comme une attaque par force brute est utilisée pour essayer tous les mots de passe possibles jusqu'à ce qu'un mot de passe réussisse à s'authentifier. Il utilise une table de dictionnaire ou une liste de mots de passe pour tout essayer.

150350jh22212dd2yqp2hl.png? Screenshot.PN

Une autre s'appelle l'attaque arc-en-ciel qui s'apparente à l'attaque par force brute , mais utilise une table arc-en-ciel au lieu d'une liste de mots de passe ... La table arc-en-ciel est simplement la valeur de hachage d'une liste de mots de passe à comparer directement avec le mot de passe haché stocké sur un système ou un périphérique.


Remarque: il existe des dictionnaires de mots de passe populaires et des tables arc-en-ciel sur Internet pouvant être utilisées avec toold comme aircrack ou john the ripper dans kali linux pour tester ces attaques.


Exemple :

Nom d'utilisateurMot de passe
utilisateur1password123
utilisateur2mot de passe345

Si nous avions une table de dictionnaire sera comme ceci ( password123, password345, password678, password666, password2323, etc.)

La table arc-en-ciel sera une liste de valeurs de hachage de tous ces mots de passe.


Comme indiqué précédemment sur les systèmes d'exploitation ou les périphériques, les mots de passe locaux sont stockés dans un fichier spécifique, mais pas au format texte. Les valeurs de hachage de ces mots de passe sont stockées. Cela empêchera quiconque d'obtenir ce fichier et de connaître tous les mots de passe, car nous avons déjà mentionné que le hachage est une fonction à sens unique et que nous connaissons même l'algorithme de hachage dont nous ne pouvons pas obtenir le mot de passe. la valeur de hachage.


Le salage est utilisé pour stocker le processus de mot de passe, il consiste simplement à ajouter une valeur aléatoire au mot de passe, puis à hacher les valeurs mot de passe + Sel au lieu de ne hacher que le mot de passe directement ... Cela nous permettra de:

1- Ayez différentes valeurs de hachage à stocker si deux utilisateurs ont les mêmes mots de passe, car la valeur aléatoire ajoutée au mot de passe sera différente.

2- Cela réduira les chances de réussite de l'attaque arc-en-ciel, car la valeur aléatoire ajoutée au mot de passe rendra difficile la création d'un tableau arc-en-ciel prévisible pour les attaquants.


003133uv2pspple6epea9c.png? Png; base64c9e

Exemple :

Nom d'utilisateurLa valeur du selChaîne à hacherValeur hachée = SHA256 (Valeur sel + Mot de passe)
utilisateur1E1F5313 cantine59C253mot de passe123E1F5313iox59C25372AE25495A7981C40622D49F9A52E4F1565C90F048F59027BD9C8C8900D5C3D8
utilisateur284B03D034B409D4Epassword12384B03D034B409D4EB4B6603ABC670967E99C7E7F1389E40CD16E78AD38EB1468EC2AA1E62B8BED3A

dans l'exemple, les deux utilisateurs ont le même mot de passe mais des valeurs de hachage différentes.


Le salage est utilisé comme suit:

1- L'utilisateur tape un mot de passe

2- Le système utilise ce mot de passe, génère un sel unique aléatoire pour cet utilisateur et hache la concaténation des deux à l'aide d'une fonction de hachage qui pourrait être SHA-2.

3- Ce hachage généré est stocké dans la base de données avec le sel utilisé. Le sel peut être stocké même en texte clair à côté.

  1. 003213sdbhypkqzdbdplfp.png? Cf490-passwor


Cette technique est considérée comme l'une des plus sécurisées de nos jours en matière de stockage de mots de passe.


Ceci est un site Web générateur de hachage et de salage afin que vous puissiez vous familiariser avec ces concepts:

http://md5.my-addr.com/md5_salted_hash-md5_salt_hash_generator_tool.php




hashing  salting  cyber security


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page