Guide des fonctions de hachage et de leur fonctionnement

Les violations de données numériques sont devenues si courantes qu’elles ne déclenchent pas trop d’alarmes à moins que vous ne soyez l’un des millions d’utilisateurs de LinkedIn exposés ou que votre ancien compte MySpace soit piraté. Toutes ces violations fonctionnent ensemble dans un flou cryptique pour la plupart des gens qui ne réalisent pas ce que ces entreprises ont fait de mal en offrant vos informations à des cyber voleurs. L’une des nombreuses raisons pour lesquelles cela a pu se produire est que vos informations n’ont pas été correctement haché.


Le hachage peut être utilisé de manière interchangeable comme nom ou verbe en cryptographie. Le hachage est l’action de changer les mots de passe en chaînes de code méconnaissables conçues par impossible à reconvertir. Celles-ci sont également appelées hachages. Certains hachages peuvent être fissurés plus simplement que d’autres, mais c’est toujours une tâche difficile que la plupart des pirates informatiques novices ne pourront pas faire..

Pourquoi le hachage est-il si important

Algorithme de hachage

La plupart des pirates veulent utiliser des données pour accéder aux informations des utilisateurs, et pour ce faire, ils ont le plus souvent besoin de votre mot de passe. Ce que ces criminels trouvent et fraudent de votre profil n’est pas stocké sous une forme lisible à l’œil nu, à moins que l’entreprise ne protège pas leurs données sensibles.

Votre mot de passe est généralement converti en hachages au moment même où vous en créez un, et il ressemble à un ensemble aléatoire de chaînes. Il s’agit de votre mot de passe mathématiquement transformé en quelque chose d’inébranlable. Dans la plupart des cas, il faut des années pour déchiffrer un hachage, et d’ici là, vous pourriez déjà avoir changé le mot de passe ou supprimé votre compte.

Quelles sont les fonctions de hachage

Fonctions de hachage – Ce sont des fonctions ou des techniques utilisées pour coder les mots de passe et autres textes en texte illisible pour le stockage et la transmission. Il existe de nombreux types de fonctions de hachage basées sur la façon dont le texte brut est codé.

Quelles sont les fonctions de hachage – Ce sont des fonctions ou des techniques utilisées pour coder les mots de passe et autres textes en texte illisible pour le stockage et la transmission. Il existe de nombreux types de fonctions de hachage basées sur la façon dont le texte brut est codé.

Comment sont conçus les hachages

Comment sont conçus les hachages

Un hachage est conçu pour être une fonction à sens unique, qui est une opération mathématique simple à effectuer au début, mais elle ne peut pas être inversée. Une fois que vous avez haché les données brutes, elles deviennent un gobbledegook complet, c’est ainsi que votre compte reste protégé contre les pirates.

Les hachages ne sont pas conçus pour être décryptés en aucune façon. Une fois que vous avez entré votre mot de passe, le système effectue le hachage et vérifie les résultats par rapport au hachage qui a été créé de votre mot de passe lorsque vous le définissez pour la première fois. Il vérifie le mot de passe sans avoir à le stocker dans le système, ce qui est une autre raison pour laquelle les pirates détestent les sites Web avec hachage.

Différences entre les méthodes de hachage fortes et faibles

En théorie, personne ne devrait jamais être capable de casser une chaîne hachée, pas même l’entreprise qui stocke le hachage. Personne ne pourra jamais reconvertir un mot de passe haché stocké en mot de passe d’origine. Cependant, les schémas de hachage existent depuis de nombreuses années, et certains sont devenus plus faibles que d’autres.

Par exemple, le cas de 177 millions de comptes LinkedIn mis en vente sur le dark web montre que les mots de passe hachés peuvent être piratés. LinkedIn n’avait utilisé à l’époque qu’une simple fonction de hachage appelée SHAI, et il n’y avait aucune autre protection en place pour empêcher le vol de données. Cela a permis aux pirates d’accéder aux mots de passe et également d’essayer ces mots de passe sur d’autres sites Web. C’est peut-être la raison pour laquelle les comptes de Mark Zuckerberg pour Twitter et Pinterest ont été piratés en même temps.

Un autre cas de hachage qui a mal tourné est l’histoire de la violation de données de Patreon. Cette fois, le site Web disposait de fonctions de hachage très puissantes appelées bcrypt. Cette fonction laisse un peu plus de temps entre la violation et la modification des mots de passe avant que le pirate puisse accéder à toutes les données mises en cache.

Alors, quelle est la différence entre SHAI et bcrypt? Avec SHAI, les pirates ne peuvent pas inverser le mot de passe haché créé avec cette fonction spécifique. Cependant, ils peuvent deviner les mots de passe et exécuter la même fonction pour découvrir le mot de passe et comment il est haché.

Lorsqu’ils obtiennent une trappe correspondante, ils peuvent utiliser un programme de hachage pour filtrer à travers des bases de données beaucoup plus grandes et deviner des millions de mots de passe ou plus. Ils peuvent ensuite utiliser ces données pour comparer avec les résultats d’un groupe de mots de passe hachés pour trouver plus de correspondances, conduisant ainsi à un effet de dominos si vous utilisez le même mot de passe pour chaque site. Bon travail, Mark Zuckerberg!

Quelles sont les caractéristiques d’une fonction de hachage utile

Puisqu’il existe plusieurs fonctions de hachage différentes, il est préférable de rechercher celles ayant ces quatre caractéristiques.

Efficace et rapide

Personne ne veut attendre pour se connecter car son mot de passe est haché. Cela signifie que la fonction de hachage doit être efficace et rapide. Étant donné que la fonction de hachage peut être laborieuse, il est impératif de trouver la plus rapide. Si un ordinateur typique a besoin de plusieurs minutes pour traiter une fonction de hachage et créer une sortie, ce ne serait pas pratique pour l’entreprise. Aujourd’hui, la plupart des ordinateurs peuvent traiter un hachage en un cinquième de seconde.

Donne toujours le même résultat

Les fonctions de hachage doivent également être déterministes. Pour toute entrée fournie, la fonction de hachage doit toujours fournir le même résultat. Si vous branchez la même entrée 5 millions de fois, l’une après l’autre, la fonction de hachage devrait également produire la même sortie 5 millions de fois.

Si une fonction de hachage devait créer des résultats différents à chaque fois que la même entrée était branchée, le hachage serait alors trop aléatoire et inutile. Il serait également impossible de vérifier l’entrée fournie, ce qui est tout l’intérêt des mots de passe hachés.

Résistant à la pré-image

Le résultat d’une fonction de hachage ne doit révéler aucune information sur l’entrée fournie. C’est ce qu’on appelle la résistance à la pré-image. Bien que les fonctions de hachage cryptographiques puissent recevoir tout type d’informations, qu’il s’agisse de lettres, de mots, de signes de ponctuation ou de chiffres, la fonction de hachage doit toujours afficher le même résultat de longueur fixe. Cela est vrai même si vous entrez un livre entier de personnages.

C’est pour cacher toutes les indications sur ce qu’est l’entrée. Il doit être impossible pour les pirates de deviner ce qui a été fourni à l’origine. Par conséquent, il est impossible de déterminer si la chaîne est longue ou courte.

Résistant aux collisions

La dernière caractéristique définit la probabilité de trouver deux entrées différentes qui créent le même résultat. Cela signifie qu’il existe un nombre illimité d’entrées, mais que les sorties sont toujours de longueur fixe. Il y a aussi beaucoup de sorties qu’une fonction de hachage doit produire, mais le nombre est fini contrairement aux entrées, qui peuvent être infinies.

En termes simples, l’objectif est de rendre absolument impossible la recherche de deux entrées qui créent la même sortie, et que la probabilité de celle-ci puisse être écartée avant même d’évaluer tout risque.

Pourquoi les hachages sont-ils irréversibles

Pourquoi les hachages sont irréversibles – Les fonctions de hachage sont généralement à sens unique car une grande partie du texte brut est supprimée pendant le processus de cryptage. La correspondance est effectuée en plaçant le texte utilisateur via la fonction de hachage et en le comparant au texte chiffré.

Qu’est-ce qu’un Hash Collision Attacks

Hash Collision Attack – Une collision de hachage fait référence à deux textes d’entrée ayant la même sortie après cryptage. C’est ce qu’on appelle une collision et tenter de trouver de telles chaînes est appelé attaque par collision de hachage. Cela est hautement improbable compte tenu de la complexité des clés de hachage actuelles.

Comprendre le salage de mot de passe

Salage de mot de passe – Le salage fait référence à l’ajout d’une chaîne supplémentaire à un mot de passe avant de le crypter. Cela rend difficile pour les attaquants d’identifier les mots de passe sur la base d’une table de mots de passe précalculée appelée table arc-en-ciel.

Qu’est-ce que le Hash Peppering

Les cryptographes aiment assaisonner leur hachage avec une autre épice appelée «poivrer». Ceci est similaire à la technique du sel, sauf que la nouvelle valeur est placée à la fin du mot de passe. Il existe deux versions de peppering. La première est une valeur cachée connue qui est ajoutée à chaque valeur, mais elle n’a de valeur que si elle n’est pas connue du pirate.

La seconde est la valeur générée aléatoirement par le système, mais elle n’est pas stockée. Cela signifie que chaque fois qu’un utilisateur essaie de se connecter, il doit essayer plusieurs combinaisons de l’algorithme de hachage et de l’algorithme Pepper pour trouver les bonnes valeurs qui correspondent au hachage. Cela signifie que la connexion peut prendre beaucoup de temps, c’est pourquoi il n’est pas utilisé.

Fonctionnement du stockage de mot de passe avec les fonctions de hachage

Fonctionnement du stockage des mots de passe avec les fonctions de hachage – Il s’agit de stocker les mots de passe des utilisateurs de manière cryptée pour garantir que les parties externes ne peuvent pas manipuler la connexion de l’utilisateur au cas où la base de données serait compromise.

Comment fonctionnent les attaques de table arc-en-ciel

Tables arc-en-ciel – Il s’agit d’un tableau de mots de passe et de leur sortie lorsqu’ils sont encodés à l’aide de nombreuses fonctions de hachage connues. Ces tableaux sont utilisés pour identifier les mots de passe sans avoir à passer du temps sur le calcul des fonctions de hachage.

Quels outils sont nécessaires pour les fonctions de hachage

Outils nécessaires pour les fonctions de hachage – Différents types de fonctions de hachage sont disponibles en tant qu’outils en ligne où le texte brut peut être chiffré en les copiant simplement dans un champ de texte donné. MD5 et SHA-256 sont quelques-unes des fonctions de hachage les plus populaires.

Comprendre les classes pour les fonctions de hachage cryptographique

Plusieurs classes de fonctions de hachage sont disponibles. Cependant, il existe peu de moyens plus courants aujourd’hui, notamment:

  •  BLAKE2
  •  Algorithme de hachage sécurisé ou SHA-2 et SHA-3
  •  Évaluation des primitives d’intégrité RACE MEssage DIGEST ou RIPEMD
  •  Algorithme de résumé de message 5 (MD5)

Chacune de ces classes implique des fonctions de hachage avec plusieurs algorithmes différents combinés. Avec SHA-2, une famille de fonctions de hachage a été développée pour la rendre plus difficile à craquer. Cela comprend SHA-224, SHA-256, SHA-384, SHA-512, SHA-512/224 et SHA-512/256.

Bien que chacun varie de l’autre dans la façon dont ils transforment une entrée donnée, ils ont également des longueurs fixes variables qu’ils produisent après avoir digéré l’entrée. Par exemple, SHA-256 est le plus utilisé dans la technologie blockchain, et il est basé sur le code Bitcoin d’origine.

Comment sont traités les hachages

Comment sont traités les hachages

En un mot, instantanément. Pour une explication détaillée, le processus est un peu plus complexe bien qu’il soit complètement automatisé et se déroule en quelques secondes. Ce processus est également appelé effet avalanche ou effet papillon.

Fondamentalement, la taille du bloc de données diffère d’un algorithme de hachage au suivant. Pour un algorithme spécifique comme SHA-1, le message ou le mot de passe est accepté dans des blocs contenant uniquement 512 bits. Cela signifie que si le mot de passe n’a qu’une longueur de 512 bits, la fonction de hachage ne s’exécutera qu’une seule fois. Si le message est de 1024 bits, il est divisé en blocs séparés de 512 bits chacun. La fonction de hachage s’exécute également deux fois.

Dans la plupart des cas, une technique appelée Padding est également utilisée, ce qui signifie que l’intégralité du message ou du mot de passe est divisé en blocs de données de taille égale. La fonction de hachage est ensuite répétée autant de fois que le nombre total de blocs. Ces blocs sont traités les uns après les autres. Dans ce processus, la sortie du premier bloc de données est alimentée en entrée avec le bloc de données suivant.

La sortie du second est ensuite envoyée au troisième bloc, et ainsi de suite. Cela rend la sortie finale le même nombre que la valeur totale de tous les blocs ensemble. Si vous changez sur morsure n’importe où dans le mot de passe ou le message, la valeur de hachage entière changerait également, d’où le nom Effet avalanche.

Emballer

Si votre mot de passe est correctement haché et salé, alors la seule façon de passer à travers serait une attaque par force brute. Avec des mots de passe plus longs et plus cryptés, l’attaque par force brute prend plus de temps, ce qui signifie qu’elle prend plus de temps et coûte plus cher au pirate.

Cela signifie que vos utilisateurs doivent toujours créer des mots de passe plus longs et configurer avec des caractères secrets, tels qu’un symbole ou une lettre majuscule. C’est aussi pourquoi les chaînes de mots de passe générées de manière aléatoire sont plus sécurisées qu’un mot de dictionnaire, car les attaques par force brute utilisent des dictionnaires pour trouver des mots à tester.

Lorsque vous vous inscrivez à une entreprise en ligne, vous devez toujours vérifier comment ils gèrent leurs mots de passe. Sont-ils cryptés? Sont-ils hachés? Comment vos informations seront-elles protégées? La plupart des entreprises avec hachage répertorient cela dans leurs politiques de confidentialité.

Outils recommandés

  • Meilleur VPN
  • Meilleurs gestionnaires de mots de passe
  • Avis sur Home Security
Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me