Tutoriels

Pourquoi les entreprises stockent-elles toujours les mots de passe en texte brut?

Plusieurs entreprises ont récemment admis stocker des mots de passe au format texte brut. C’est comme stocker un mot de passe dans le Bloc-notes et l’enregistrer sous forme de fichier .txt. Les mots de passe doivent être salés et hachés pour la sécurité, alors pourquoi cela ne se produit-il pas en 2019?

Pourquoi les mots de passe ne doivent pas être stockés en texte brut

Mon mot de passe123456 écrit sur un post-it et collé à un ordinateur.

Lorsqu’une entreprise stocke des mots de passe en texte brut, toute personne disposant de la base de données de mots de passe – ou de tout autre fichier dans lequel les mots de passe sont stockés – peut les lire. Si un pirate informatique accède au fichier, il peut voir tous les mots de passe.

Le stockage des mots de passe en texte brut est une pratique terrible. Les entreprises devraient saler et hacher les mots de passe, ce qui est une autre façon de dire «ajouter des données supplémentaires au mot de passe, puis brouiller d’une manière qui ne peut être inversée». En règle générale, cela signifie que même si quelqu’un vole les mots de passe d’une base de données, ils sont inutilisables. Lorsque vous vous connectez, l’entreprise peut vérifier que votre mot de passe correspond à la version brouillée stockée, mais elle ne peut pas «travailler en arrière» à partir de la base de données et déterminer votre mot de passe.

  Comment utiliser l'outil de capture d'écran Chrome pour capturer des pages Web

Alors, pourquoi les entreprises stockent-elles les mots de passe en texte brut? Malheureusement, les entreprises ne prennent parfois pas la sécurité au sérieux. Ou ils choisissent de compromettre la sécurité au nom de la commodité. Dans d’autres cas, l’entreprise fait tout correctement lors de l’enregistrement de votre mot de passe. Mais ils peuvent ajouter des capacités de journalisation trop zélées, qui enregistrent les mots de passe en texte brut.

Plusieurs entreprises ont des mots de passe mal stockés

Vous êtes peut-être déjà affecté par de mauvaises pratiques car Robin des Bois, Google, Facebook, GitHub, Twitter et autres ont stocké les mots de passe en texte brut.

Dans le cas de Google, l’entreprise a correctement haché et salé les mots de passe de la plupart des utilisateurs. Mais Mots de passe des comptes G Suite Enterprise ont été stockés en texte brut. La société a déclaré qu’il s’agissait d’une pratique restante depuis le moment où elle a donné aux administrateurs de domaine des outils pour récupérer les mots de passe. Si Google avait correctement stocké les mots de passe, cela n’aurait pas été possible. Seul un processus de réinitialisation de mot de passe fonctionne pour la récupération lorsque les mots de passe sont correctement stockés.

  Comment signaler des messages sur Facebook Messenger

Quand Facebook aussi admis à stocker des mots de passe en texte brut, il n’a pas donné la cause exacte du problème. Mais vous pouvez déduire le problème à partir d’une mise à jour ultérieure:

… Nous avons découvert des journaux supplémentaires de mots de passe Instagram stockés dans un format lisible.

Parfois, une entreprise fera tout correctement lors du stockage initial de votre mot de passe. Et puis ajoutez de nouvelles fonctionnalités qui posent des problèmes. Outre Facebook, Robin des Bois, Github, et Twitter mots de passe en texte brut enregistrés par erreur.

La journalisation est utile pour trouver des problèmes dans les applications, le matériel et même le code système. Mais si une entreprise ne teste pas complètement cette capacité de journalisation, elle peut causer plus de problèmes qu’elle n’en résout.

  Comment ajouter et supprimer des widgets de l'écran d'accueil sur iPhone

Dans le cas de Facebook et Robinhood, lorsque les utilisateurs ont fourni leur nom d’utilisateur et leur mot de passe pour se connecter, la fonction de journalisation pouvait voir et enregistrer les noms d’utilisateur et les mots de passe au fur et à mesure de leur saisie. Il a ensuite stocké ces journaux ailleurs. Toute personne ayant accès à ces journaux avait tout ce dont elle avait besoin pour prendre en charge un compte.

En de rares occasions, une entreprise comme T-Mobile Australia peut ignorer l’importance de la sécurité, parfois au nom de la commodité. Dans un Échange Twitter supprimé depuis, un représentant de T-Mobile a expliqué à un utilisateur que l’entreprise stockait les mots de passe en texte brut. Le stockage des mots de passe de cette manière permettait aux représentants du service client de voir les quatre premières lettres d’un mot de passe à des fins de confirmation. Lorsque d’autres utilisateurs de Twitter ont souligné à juste titre à quel point ce serait grave si certains