Réflexions sur l'efficacité de hardware chiffrées pour stockage de mots de passe
-
@nakhom ok, je n’avais pas capté que le champ était rempli automatiquement par l’appareil, mais je me pose alors la question : est ce que c’est toujours le même mot de passe chiffré qui est utilisé?
-
@tulsene a dit dans Solutions hardware chiffrées pour stockage de mots de passe :
est ce que c’est toujours le même mot de passe chiffré qui est utilisé?
Comment ça ?
-
@nakhom c’est en fait une question réthorique mal formulée
En fait, même si c’est l’appareil qui rempli le champ et que le champ rempli est chiffré, comme c’est toujours la même information qui est utilisée, si un attaquant à accès à cette information il est donc en mesure d’utiliser ton mot de passe.
-
@tulsene - Oui, j’avais cet espèce de fantasme que le hardware communiquait en chifrré avec l’interface, comme le Ledger, mais c’est une connerie, dès l’instant que l’application n’est pas dédiée. Cette solution n’apporte en fait pas grand chose de plus qu’un KeyPass, à ceci près que les MdP sont stockés à froid. Tu as raison sur le fait que ça peut induire un faux sentiment de sécurité. Néanmoins, bien que pas encore parfait, ça permet une toute petite couche de sécurité en plus :
- Stockage des MdP offline
- Remplissage des champs automatique [plus de copier/coller]
Back to square one…
-
C’est ni plus ni moins qu’un microcontrôleur AVR qui émule un clavier.
L’algo de cryptage sur la clef est un peu léger, ce qui est normal au vu des capacité limités du microcontrolleur.
Aucune sécurité contre les key loggers logiciels.
Aucune sécurité contre un “sniffing” du port USB (mot de passe envoyé en clair).
Aucune sécurité en cas de vol.Équivalent plus ou moins à un post-it collé sous son clavier, le coté “je suis un flemmard” en plus.
-
PWAH ! Bon, un admin pourrait éditer le titre, voire retirer le sujet, vu l’erreur, svp ? Merci @raoullevert pour les précisions. Des pistes pour une solution de stockage à froid ?
-
Cette analyse n’engage que moi, mais d’après ce que je vois c’est plus ou moins un arduino nano. Le ledger que tu cites emploies des solutions un peu plus evoluées. Le tindie a sûrement une utilité, mais pour ma part je n’aurais aucune confiance en l’utilisant.
Une réponse trouvé à une personne voulant protéger son AVR contre un dump et un reverse :
“Atmel’s AVR line are not high security devices (unless explicitly noted!) and as such they absolutely don’t come with any code safety guarantee, nor should they! Like all non-secure devices (and sadly even some secure ones,) they are prone to common attacks!”Effectivement c’est pratique comme petit puce, mais pas adaptée à quelque chose de sensible.
-
@nakhom, c’est bien de garder, surtout quand c’est des échanges instructifs mais que penses-tu de ce titre?
-
il faut rajouter : vous avez 2 heures pour répondre.
-
Allez, 3 !
-
@tom-syphers - Perfecto, merci !
