[wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

--gilles-- · 13-01-2021 12:29:49

Bonjour !

Bon, la période actuelle est difficile, la puissance de calcul augmente. Est-ce que des petits malins n'en profiteraient pas pour tirer leur épingle du jeu en jouant à la "brute force" ?
« "brute force" pour les mots de passe ? » : Utiliser la puissance de calcul pour explorer tous mots de passe possibles.

Eh, bien ce va pas être possible si grâce à ce tuto vous sécurisez vos mots de passe : https://debian-facile.org/doc:securite: … -pwquality

Mais un tuto ne valant que si il est commenté, testé, merci d'avance pour vos retours et idées

Beta-Pictoris · 16-01-2021 00:14:24

Bonjour

Je ne connaissais pas cettte commande pwmake :

pwmake 128

aR9Ubz0gDOD)Am8yv4BFutSYkAS

Jusqu'à présent, je procédais comme ceci. Par exemple, pour générer 10 mots de passe de 20 caractères chacun :

cat /dev/urandom | tr -cd 'A-Za-z0-9!*%$' | fold -w20 | head -10

oi36YZu8FSfkOlvR8cGj

8pxNupED0bS$ZGK1LaPd

UKvj$vuiv%ZCS%5MgHYb

Ch3NmeR85Bh7UffKTjDa

uLkYGbT8uekXLRIm1lQf

yjOq8!*9TUvMPexC7%yu

XkwnD2ioCA4zZORNuhd7

4nBbQBwp7VTpCvPMfIFB

RgfBpjd6crS8xq3Y!DpG

UxWFEQdHDAFZlX934lh2

--gilles-- · 21-01-2021 16:47:34

Bonjour !

Je suis heureux que tu t'intéresses à mon tuto.

Dois-je considérer que tu l'as testé ? Comme il s'agit d'un forum animé par des bénévoles, je ne sais pas les règles qui s'appliquent pour pouvoir apposer un nom après la mention : Testé par <…> le <…>

Je dois dire que je suis un peu ennuyé par le fait que les définitions de dcredit, ucredit, lcredit, ocredit soient différentes entre la version de man pwquality.conf et celles rédigées dans man pam_pwquality d'où la note d'avertissement préalable. Ce qui m' a rassuré c'est que l'ANSSI ne s'en sert pas et les mets explicitement à 0 :
https://www.ssi.gouv.fr/uploads/2016/01 … r-v1.2.pdf (page 28 du document )

Je suis un simple amateur, je me suis intéressé à cet aspect de la sécurité car les personnes qui m'avaient plus ou moins promis qu'elles feraient appel à moi pour une installation Linux soient ne mettent carrément pas de mot de passe ou soient mettent un mot de passe en bois ( modèle de leur voiture, date de naissance ! ) sur leur vieux Windows. Et quand je leur demandais quel nouveau mot de passe elles voulaient pour leur nouvel ordi, elles ne voulaient pas de mot de passe ou d'autres me redonnaient toujours le même que celui de leur Windows en me disant : « Au moins celui-là, je vais m'en souvenir ! »

Comme tu génères des mots de passe à la volée, je suppose que tu administres un parc de machines pour un ensemble d'utilisateurs. Comment fais-tu pour que les mots de passes générés ne se retrouvent pas sur un post-it à côté ou carrément sur l'ordinateur ?

Je ne connaissais pas non plus cette commande pwmake il y a peu. Comme elle accepte plus de caractères spéciaux que l'ensemble : {!*%$} les résultats ont une meilleure entropie.

J'avais compilé libpam-passwdqc il y a longtemps sur un vieux Mac, c'était énorme la longueur minimum de caractères par défaut. On peut aussi définir la durée de validité des mots de passe, on le trouve sous forme de paquet pour debian, mais pour des simples amateurs, je ne crois pas que cette solution aurait remporté l'adhésion d'un grand nombre de personnes.

aptitude show libpam-passwdqc

Paquet : libpam-passwdqc                                

Version : 1.4.0-1

État: non installé

Multiarchitecture : même

Priorité : optionnel

Section : admin

Responsable : Debian Security Tools <team+pkg-security@tracker.debian.org>

Architecture : amd64

Taille décompressée : 52,2 k

Dépend: libc6 (>= 2.4), libcrypt1 (>= 1:4.1.0), libpam0g (>= 0.99.7.1), libpasswdqc0 (>= 1.3.0), libpam-runtime (>= 1.0.1-6)

Recommande: passwdqc

Description : PAM module for password strength policy enforcement

 passwdqc is a password/passphrase strength checking and policy enforcement toolset, including a PAM module (libpam-passwdqc),

 command-line programs (pwqcheck and pwqgen), and a library (libpasswdqc0). 

 pam_passwdqc (optionally) integrates with PAM such that it gets invoked when users change their passwords. The module is capable

 of checking password or passphrase strength, enforcing a policy, and offering randomly-generated passphrases, with all of these

 features being optional and easily (re-)configurable.

Site : https://www.openwall.com/passwdqc/

Étiquettes: devel::library, role::shared-lib, security::authentication

tux12 · 21-01-2021 17:18:33

Bonjour,

Un logiciel du genre keepassX permet d'une part de sauvegarder les mots de passe (afin d'éviter les post-its) et d'autre part de générer des mots de passe de manière aléatoire avec possibilité de définir la longueur du pass et le type de caractères à employer. C'est fiable, je l'ai utilisé à titre professionnel et je continue à l'utiliser à titre personnel.
Par contre je ne saisis pas vraiment le rapport dans le premier post entre le brute-force et l'usage envisagé; en effet le BF est facilement évitable par d'autre moyens sur une invite de login d'un shell (fail2ban sur ssh ou http). Le seul usage du BF possible dans ce cas d'usage suppose que l'attaquant dispose du hash associé au password.

Pour éviter le côté "difficile de retenir un pass qui ne veut rien dire" perso j'utilise la première lettre de chaque mot d'une phrase que je ne peux pas oublier, ensemble auquel j'applique ensuite des "règles" du genre "alternance majuscule minuscule" ainsi que "substitution de lettres par des chiffres".
Il reste à trouver une phrase le plus surréaliste possible (pour être difficilement trouvable ailleurs).

Si ça peut aider...

--gilles-- · 23-01-2021 15:23:12

Bonjour, merci de ta réponse tux12. keepassX est très bien pour les mots de passe quand on navigue sur les sites à inscription, mais cela ne concerne pas la problématique que je cherchais à résoudre : obliger des utilisateurs lambda à générer des mots de passe des sessions root et utilisateurs nettement plus complexes que ces utilisateurs souhaitaient créer au départ. Je m'aperçois que le tuto n'est assez clair sur la distinction entre les deux types de mots de passe, je rajoute la précision.

Ces utilisateurs lambda n'utilisant pas ssh, je ne voyais pas l'intérêt de la complexité de keepassX pour eux.

D'autant plus, que je sais pas pourquoi, alors que j'avais installé une machine chez moi pour un ami, sans l'extension de gestion de mot de passe Firefox LockWise, celle-ci est apparue dans le Firefox chez l'ami chez qui j'avais déplacé la machine. Ceci dès qu'il a voulu définir un nouvel identifiant et un mot de mot de passe sur un nouveau site.

https://www.mozilla.org/fr/firefox/lockwise/

Dernière modification par --gilles-- (23-01-2021 16:01:58)

smolski · 23-01-2021 16:53:09

Pour générer des passes faciles, il y a la commande apg :
https://debian-facile.org/doc:systeme:apg

...

nam1962 · 23-01-2021 22:18:20

J'aime bien ce topic.

Est ce que c'est ce style de méthode qui est utilisé pour MasterPassword ?

tux12 · 24-01-2021 00:19:06

Ok, je comprends mieux le besoin. Difficile en effet d'utiliser un logiciel graphique pour ouvrir une session sur un ordi à moins de disposer d'un deuxième ordi sous la main. Et ma proposition précédente de phrase connue devient difficilement pratiquable si on doit changer de pass périodiquement.
Par contre il y a peut-être des solutions à chercher du côté des téléphones portables, que se soit une appli trousseau de clef ou toute autre méthode plus personelle.
Dans tous les cas il restera à convaincre l'utilisateur de l'utilité de la démarche... Je te souhaite bon courage

smolski · 24-01-2021 07:30:20

tux12 a écrit :

Difficile en effet d'utiliser un logiciel graphique pour ouvrir une session sur un ordi à moins de disposer d'un deuxième ordi sous la main

Dans la mesure où l'on peut ensuite modifier les passwd, on peut mettre un paswd tranquille à l'installation puis le modifier singulièrement une fois celle-ci terminée.

--gilles-- · 26-01-2021 15:25:33

smolski a écrit :

Pour générer des passes faciles, il y a la commande apg :
https://debian-facile.org/doc:systeme:apg

Dans la description du paquet apg, il est indiqué que le développement d'apg a été arrêté en 2003 et que le site des développeurs n'est plus en ligne. Le mainteneur debian d'apg arrêtera la maintenance de ce paquet apg dès que sera disponible un paquet maintenu qui aura les mêmes fonctions.

aptitude show apg a écrit :

apg has not seen upstream attention since 2003, upstream is not answering e-mail, and the upstream web page does not look like it is in
good working order. The Debian maintainer plans to discontinue apg maintenance as soon as an actually maintained software with a
compariable feature set becomes available.
Site : http://www.adel.nursat.kz/apg/

Smolski, il faudrait avertir les usagers du wiki de cette alerte.

smolski a écrit :

Dans la mesure où l'on peut ensuite modifier les passwd, on peut mettre un paswd tranquille à l'installation puis le modifier singulièrement une fois celle-ci terminée.

Vu que j'ai installé et que peut-être je réinstallerai pour des personnes qui il y a peu de temps n'avaient pas de mot de passe dans leur Windows et justement se sont fait pénétrer leur système et escroquer, mais quand même elles sont dures à la compréhension, elles veulent toujours des mots de passe bidons, trop simples ! Alors, je leur force la main et je mets un mot de passe hyper complexe et puis épuisées elles me disent :
« Gilles, ton mot de passe est trop dur ! Tu peux pas le changer ? » et elles me reproposent des marques de voiture ou leur anniversaire !

Alors je leur dis : « Tu te souviens pas que tu t'es fait escroquer l'année dernière ? »

« Ah, oui, c'est vrai, merde ! »

alors elles me font d'autres propositions de mot de passe, et si c'est trop simple, pwscore refuse leurs propositions. Et je dis : « L'ordinateur refuse, c'est trop simple comme mot de passe, tu vois Linux, c'est sécurisé ! »

Et finalement nous arrivons à un mot de passe suffisamment sécurisé, mais qu'elles ont choisi.

Dernière modification par --gilles-- (26-01-2021 15:27:48)

--gilles-- · 28-03-2021 15:12:05

Suite à l'article de Pierric MARISSAL dans L'Humanité - Dimanche n° 749 semaine du 18 au 24 mars : « Extorsion et intrusion. Les entreprises et les travailleurs en première ligne » consacré à la sécurité informatique des télé-travailleurs avec leur équipement personnel informatique, je rajoute une configuration renforcée avec la vérification du mot de passe en le comparant aux mots de passe courants contenus dans un dictionnaire de mot de passe ainsi que trois caractères différents obligatoires entre l'ancien et le nouveau mot de passe :

https://debian-facile.org/doc:securite: … ssi-a-root

Debian-facile

#1 13-01-2021 12:29:49

[wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#2 16-01-2021 00:14:24

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#3 21-01-2021 16:47:34

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#4 21-01-2021 17:18:33

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#5 23-01-2021 15:23:12

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#6 23-01-2021 16:53:09

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#7 23-01-2021 22:18:20

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#8 24-01-2021 00:19:06

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#9 24-01-2021 07:30:20

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#10 26-01-2021 15:25:33

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

#11 28-03-2021 15:12:05

Re : [wiki] Améliorer la sécurité des mots de passe avec libpam-pwquality

Pied de page des forums