Serveur d'impression

DiceKeys crée un mot de passe principal à vie en un seul jet – Bien choisir son serveur d impression

Le 6 octobre 2020 - 8 minutes de lecture


Pas un jeu de société, un outil de sécurité.
Agrandir / Pas un jeu de société, un outil de sécurité.

La cybersécurité moderne, réalisée avec les meilleures pratiques correctement paranoïaques, nécessite de répondre à certaines exigences difficiles: portez une clé physique à deux facteurs pour vous connecter et vous authentifier sur un nouvel ordinateur, mais si vous perdez ou cassez ce petit morceau de plastique, vous pourriez être mis en lock-out de vos comptes. Utilisez des mots de passe différents et totalement impossibles à deviner pour chaque site Web, sans les répéter ni les écrire. Et même si vous optez pour un gestionnaire de mots de passe – comme vous le devriez – vous devrez vous souvenir d'un long mot de passe principal pendant des années, sinon vous risquerez de perdre l'accès aux autres.

Ou vous pouvez réduire toute cette complexité à un seul jet de 25 dés dans une boîte en plastique. Cette semaine, Stuart Schechter, informaticien à l'Université de Californie à Berkeley, lance DiceKeys, un kit simple pour générer physiquement une seule clé super-sécurisée qui peut servir de base à la création de tous les mots de passe les plus importants de votre vie pendant des années. ou même des décennies à venir. Avec un peu plus qu'un engin en plastique qui ressemble un peu à un ensemble de Boggle et une application Web d'accompagnement pour scanner le jet de dés résultant, DiceKeys crée une clé hautement aléatoire et mathématiquement impossible à deviner. Vous pouvez ensuite utiliser cette clé pour dériver des mots de passe principaux pour les gestionnaires de mots de passe, comme base pour créer une clé U2F pour l'authentification à deux facteurs, ou même comme clé secrète pour les portefeuilles de crypto-monnaie. Peut-être plus important encore, la boîte de dés est conçue pour servir de clé permanente hors ligne pour régénérer ce mot de passe principal, cette clé de cryptage ou ce jeton U2F s'il est perdu, oublié ou cassé.

«Vous venez de lancer les dés», déclare Schechter, qui a présenté DiceKeys dans une conférence au Symposium Usenix sur la confidentialité et la sécurité utilisables la semaine dernière et propose maintenant des précommandes des kits sur Crowd Supply pour 25 $, qui devraient être expédiés en janvier de l'année prochaine. "Au lieu d'avoir à entrer un grand secret lorsque vous voulez faire quelque chose qui nécessite un mot de passe super fort, vous pouvez simplement les scanner."

En fait, Schechter a l'intention que la plupart des utilisateurs de DiceKeys ne lancent leur set qu'une seule fois. Après avoir secoué les clés dans un sac, l'utilisateur les jette dans sa boîte en plastique, puis ferme le couvercle pour les verrouiller en place de manière permanente. L'utilisateur scanne ensuite la boîte de dés avec l'application DiceKeys – actuellement une application Web hébergée sur DiceKeys.app – qui accède à son ordinateur portable, téléphone ou appareil photo iPad. Cette application génère une clé cryptographique basée sur les dés, vérifiant les symboles de type code-barres sur les faces pour s'assurer qu'elle interprète correctement les caractères et l'orientation des dés. Bien que la version actuelle de l'application DiceKeys soit hébergée sur le Web, Schechter dit qu'elle est conçue pour qu'aucune donnée ne quitte jamais l'appareil de l'utilisateur.

La vidéo d'introduction pour DiceKeys

Grâce aux différents chiffres et lettres sur chaque face de touche ainsi qu'aux orientations des dés, l'arrangement résultant a environ 196 bits d'entropie, dit Schechter, ce qui signifie qu'il y a 2196 différentes possibilités de positionnement des dés. Schechter estime que c'est à peu près autant de possibilités qu'il y a d'atomes dans quatre ou cinq mille systèmes solaires. «Avec la technologie moderne, vous ne pouvez pas vraiment construire un ordinateur assez grand pour deviner ce nombre sans vous écraser sous sa gravité», dit-il.

Une fois les dés scannés, l'application propose ensuite d'utiliser la clé qu'elle génère pour dériver une phrase de passe ultra-longue et purement aléatoire qui peut être coupée et collée dans un gestionnaire de mots de passe en tant que mot de passe principal. L'application DiceKeys ne stocke pas la clé qu'elle crée en scannant les dés, le mot de passe principal ou quoi que ce soit d'autre. Mais surtout, il peut régénérer cette clé et ce mot de passe sur commande en analysant à nouveau la boîte de dés.

Schechter crée également une application distincte qui s'intégrera à DiceKeys pour permettre aux utilisateurs d'écrire une clé générée par DiceKeys sur leur jeton d'authentification à deux facteurs U2F. Actuellement, l'application ne fonctionne qu'avec le jeton open-source SoloKey U2F, mais Schechter espère l'étendre pour être compatible avec les jetons U2F plus couramment utilisés avant que DiceKeys ne soit expédié. La même API qui permet cette intégration avec son application de jeton U2F permettra également aux développeurs de portefeuilles de crypto-monnaie d'intégrer leurs portefeuilles avec DiceKeys, de sorte qu'avec une application de portefeuille compatible, DiceKeys puisse générer la clé cryptographique qui protège également vos pièces de crypto.

Le schéma de hachage cryptographique utilisé par DiceKeys pour générer ses mots de passe et ses clés empêche quiconque, comme un gestionnaire de mots de passe ou un portefeuille cryptographique malveillant, de travailler en arrière pour dériver la clé DiceKeys sous-jacente de l'utilisateur. Ainsi, DiceKeys est destiné à permettre à l'utilisateur de générer et, si nécessaire, de régénérer des mots de passe et des clés pour de nombreuses applications sans qu'aucune d'entre elles ne compromette la sécurité des autres.

Schechter soutient également que la boîte à dés en plastique est relativement à l'épreuve du temps. Il est plus durable et plus difficile à perdre qu'un morceau de papier avec un mot de passe écrit dessus. Il est «à l'épreuve des tout-petits», dit-il, et conçu pour résister aux chutes de la hauteur du plus grand humain. (Schechter dit qu'il travaille également sur une version en acier ignifuge.) Et bien que dans des décennies, le monde soit passé de normes comme Bluetooth et USB-C, la licence DiceKeys permet à la communauté open-source de la maintenir; dans le meilleur des cas, il pourrait continuer à fonctionner indéfiniment.

Schechter décrit DiceKeys comme toujours en phase de test alpha, et sa sécurité n'est pas parfaite pour le moment. L'hébergement de l'application DiceKeys sur le Web, par exemple, la rend vulnérable aux pirates qui pourraient détourner le serveur qui l'exécute pour se donner des copies des clés et des mots de passe qu'elle génère. Mais Schechter dit qu'il construit des versions iOS et Android de l'application qu'il espère avoir prêtes avant la livraison de DiceKeys aux clients – une importante amélioration de la sécurité, déclare Dan Boneh, un professeur bien connu de cryptographie à Stanford qui a regardé Usenix de Schechter. «Une application peut faire l'objet d'une ingénierie inverse pour s'assurer qu'elle répond à vos attentes. Il est probable que certaines organisations de sécurité le feraient et rapporteraient leurs découvertes au reste d'entre nous», a écrit Boneh dans un e-mail à WIRED. "Cela ne peut pas être fait dans le cloud."

Mais sinon, Boneh soutient que les DiceKeys «sont un bon moyen de guider les utilisateurs vers un comportement correct». Il est conçu pour permettre aux utilisateurs d'utiliser un gestionnaire de mots de passe beaucoup plus facilement, par exemple, une pratique de sécurité largement recommandée, car les gestionnaires de mots de passe permettent aux utilisateurs de générer des mots de passe forts et uniques pour tous leurs comptes disparates.

Malgré le fait que DiceKeys aura probablement l'attrait le plus initial pour les communautés de crypto et de sécurité, Schechter dit qu'il le voit comme un outil pour les personnes qui souhaitent adopter des gestionnaires de mots de passe et des jetons U2F, mais sont intimidées par la perspective d'oublier un mot de passe principal. ou perdre un jeton U2F. «C'est pour aider les gens à surmonter ces problèmes. C'est pour les utilisateurs de tous les jours», dit Schechter. "Il est définitivement conçu pour rendre la sécurité plus accessible aux gens, car c'est quelque chose qu'ils peuvent comprendre. C'est un tas de lettres et de chiffres dans une boîte."

Cette histoire est apparue pour la première fois sur Wired.com.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.