Salut, nous avons récemment été victimes d’une ingénierie sociale qui nous a amenés à donner les droits d’administrateur à un utilisateur compromis. D’après les journaux, il a activé « Data Explorer », et n’a rien fait d’autre qu’usurper l’identité de quelques utilisateurs.
Quel est l’impact de cet incident sur notre forum et y a-t-il quelque chose de grave ?
L’usurpation d’identité peut leur montrer l’e-mail des utilisateurs sans que cette partie ne soit enregistrée.
Quant à l’explorateur de données…
Presque tout peut être reçu en l’utilisant, y compris l’e-mail de chaque utilisateur, l’adresse IP, les MOTS DE PASSE (enfin, le hachage et l’algorithme de hachage, mais vous pouvez ensuite obtenir le mot de passe avec cela), etc., et peut être exporté en un clic. Et la création et la suppression de requêtes ne sont pas enregistrées.
Je recommanderais de faire une publication épinglée globalement et une bannière indiquant qu’un utilisateur mal intentionné a reçu les droits d’administrateur et que leurs e-mails, adresses IP, etc. ont pu leur être divulgués en conséquence. Et de CHANGER LEUR MOT DE PASSE.
Mais les mots de passe seraient hachés, donc cette partie serait sûre, n’est-ce pas ?
Je pense que l’algorithme qu’ils peuvent obtenir (associé au hachage) leur permettrait de déchiffrer le hachage.
Y a-t-il un moyen de forcer tout le monde à réinitialiser son mot de passe ? J’ai fait une annonce, mais cela ne couvrira pas tout le monde.
Je ne pense pas. Ce que vous pouvez faire, c’est utiliser l’API et envoyer un e-mail de réinitialisation de mot de passe à chaque utilisateur.
Quoi ? C’est impossible. La cryptographie rend impossible la restauration du mot de passe à partir du hachage du mot de passe, à moins d’utiliser l’ingénierie sociale.
Pour le dire simplement, bien que le hachage du mot de passe divulgué présente un grand risque, il peut aider d’autres personnes à deviner le mot de passe grâce à des informations telles que l’anniversaire, le nom, le numéro de téléphone, etc., mais personne ne peut restaurer le mot de passe en se basant uniquement sur le hachage du mot de passe.
Qu’en est-il du sel et de l’algorithme ?
Un algorithme cryptographique, c’est comme prendre une photo d’un mot de passe. La même personne prendra effectivement la même photo, mais la personne qui reçoit la photo ne peut pas restaurer votre ADN à partir de la seule photo.
Le sel du mot de passe augmente la sécurité du mot de passe, rendant plus difficile son décryptage par des tables arc-en-ciel et d’autres moyens, même s’il est divulgué.
Alors même avec les 3 mots de passe divulgués sont-ils en sécurité ?
Ce n’est pas absolument sûr. Si ses utilisateurs ont de très bonnes habitudes en matière de mots de passe, comme ne pas utiliser « ilovexxxx » ou « nom+date de naissance » comme mots de passe, ces méthodes peuvent réduire considérablement la probabilité que leurs mots de passe soient piratés. Si les utilisateurs n’ont pas de bonnes habitudes en matière de mots de passe, tous leurs comptes sur tous les sites Web sont en danger.
Vous pourriez essayer de réinitialiser les mots de passe de tout le monde à des mots de passe aléatoires dans la console Ruby, ce qui les obligera à réinitialiser leurs mots de passe pour se connecter.
Merci !
Demandez à vos administrateurs et utilisateurs d’activer la 2FA.
Faire ça aussi
Si vous réinitialisez le mot de passe de tout le monde, assurez-vous d’afficher une bannière indiquant aux gens qu’ils doivent changer leur mot de passe, et soyez prêt à vous attendre à des problèmes lorsque les gens le feront.
Je pense qu’il est trompeur que cette réponse soit marquée comme « Solution ».
Je ne pense pas que ce soit trompeur. La question portait sur l’impact de quelqu’un ayant temporairement obtenu un accès administrateur et la réponse est que pratiquement tout pourrait être compromis car l’attaquant aurait pu télécharger (des parties de) la base de données sans laisser de trace.
Et oui, les hachages de mots de passe peuvent être très difficiles à cracker, mais si vous avez un contexte supplémentaire (comme les adresses e-mail des utilisateurs) et un accès à des mots de passe divulgués d’une autre source, alors il y a une chance que vous puissiez reconstituer certaines choses et réussir.
Par « vous pouvez alors obtenir le mot de passe » avec « le hachage et l’algorithme de hachage », j’ai pensé que ce qu’Ethan voulait dire, c’est qu’avec seulement les hachages et l’algorithme de hachage, vous pouvez obtenir tous les mots de passe.
C’est le sens que je pensais qu’il était prévu et que j’ai trouvé trompeur. Peut-être que ce n’est trompeur que pour les non-initiés. Je vais me pencher sur ce sujet intéressant dès que j’en aurai l’occasion !
Avec les utilisateurs moyens, vous pouvez obtenir la plupart des choses.
Il ne faut pas beaucoup plus que de la puissance CPU brute pour forcer par force brute à l’aide d’une liste de mots de passe une fois que vous avez les hachages, les sels et aucune limitation de débit.