Défendre votre réseau contre RockYou2021

En juin 2021, une grande quantité de données a été publiée sur un forum de piratage Internet très connu. Cet ensemble de données a été baptisé “rockyou2021”, d’après la liste de mots de force brute de mots de passe connue sous le nom de Rockyou.txt. 

Les médias et Twitter se sont mis à se demander ce qu’il fallait faire avec Rockyou2021. Vous n’êtes pas le seul à vous demander si et comment vous devez protéger votre réseau contre RockYou2021. Nous avons demandé à notre équipe de recherche de faire une analyse approfondie de l’ensemble de données, dont nous partageons les résultats dans ce billet de blog. Et tandis que certains sur Twitter considéraient que cet ensemble de données était plein de données inutiles ne nécessitant aucune action, le verdict de notre équipe n’était pas tout à fait le même.
 

Qu’y a-t-il dans Rockyou2021 ?

L’objectif de cet ensemble de données était de faciliter les attaques par force brute sur les hachages de mots de passe, afin de trouver un mot de passe dans la liste de mots pour se connecter au service ou au système protégé par le hachage. Ce jeu de données a été décrit comme une combinaison de “COMB” (Collection of Many Breaches) et de listes de mots générées à partir de Wikipedia et d’autres sources. 

Étant donné que cet ensemble de données est une liste de mots, plutôt qu’une collection d’informations d’identification existantes provenant de sources existantes (les enregistrements COMB mis à part), aucun nom d’utilisateur n’est associé à ces enregistrements. L’ensemble de données est simplement une liste de mots à utiliser comme mots de passe possibles pour des tentatives de force brute ou de craquage.

 
L’analyse de RockYou2021 par notre équipe

Une analyse a été effectuée sur la liste de mots rockyou2021 ; cette analyse a été réalisée à l’aide d’outils de manipulation de texte standard afin de collecter des sous-ensembles, et les enregistrements ont été mélangés de manière aléatoire, divisés en sous-ensembles, puis traités pour calculer les statistiques appropriées.

Pour les besoins de l’analyse (générer des statistiques sur les mots de passe autour des enregistrements en question), un sous-ensemble de ~200 millions d’enregistrements a été prélevé dans l’ensemble complet de données de ~8,5 milliards d’enregistrements, soit un échantillon de ~2,4 %.

À des fins de démonstration, voici un échantillon d’enregistrements tirés de l’ensemble des données :

La répartition des mots de passe courants les plus populaires en tant que « mots de base » (mots utilisés en combinaison avec des lettres/chiffres/ponctuation, ou modifiés par la casse ou le « leet-speak ») est la suivante :

Notez que le grand nombre de mots de passe basés sur ‘123456’ est dû aux nombreuses variations des mots de passe basés sur des chiffres. Beaucoup de mots de passe courants sont basés sur des modèles de nombres, et ceux-ci seraient considérés comme un sur-ensemble de ce modèle ; par exemple, 123456789 aurait ‘123456’ comme ‘mot de base’ du mot de passe. De ce fait, ces regroupements peuvent être partiellement trompeurs lorsque l’on considère des mots de passe composés uniquement de chiffres. Il faut s’efforcer, lors de l’élaboration d’une politique de mot de passe, d’empêcher les mots de passe et les phrases de passe composés uniquement de chiffres ou de lettres, en encourageant une entropie suffisante par le biais d’autres caractères et du hasard. On observe un schéma similaire avec l’utilisation de “qwerty” comme mot de base dans l’ensemble de données ; les mots de passe faibles tendent vers des schémas « keyboard-walking » , car de nombreux utilisateurs les trouvent faciles à retenir, ce qui augmente leur fréquence dans les fuites et les ensembles de données similaires.

Une analyse de la longueur des enregistrements montre un modèle similaire, les permutations sur les mots de passe courants (une partie de la génération d’une bonne liste de mots) aboutissent à des mots de passe qui ont tendance à être plus longs ; un mot de passe permuté sur une « keyboard-walk » comme « qwerty » sera plus long que le mot de base lui-même.

L’ensemble de données tend vers des mots de passe plus longs, ce qui nécessite l’application de mots de passe plus longs et plus difficiles à retenir pour éviter les collisions avec la liste de mots, ou, de manière optimale, l’utilisation de phrases de passe (articles en anglais).

Notre équipe a également examiné la complexité des enregistrements de RockYou2021. Vous trouverez ci-dessous la répartition du nombre d’enregistrements dans les différents types de complexité, ainsi que quelques exemples.

Type de complexité : Lettres et chiffres minuscules (minuscules et alphanumériques)
Nombre d’enregistrements RockYou2021 : 34,296,199 (34.06%)
Exemples: sta8342, residerais6 

Type de complexité : Lettres minuscules et majuscules avec chiffres (alphanumériques mélangés)
Nombre d’enregistrements RockYou2021 : 20,526,308 (20.38%) 
Exemples: BEllow2588, peDiortho95 

Type de complexité : Lettres minuscules uniquement (minuscules alphabétiques uniquement)
Nombre d’enregistrements RockYou2021 : 15,398,980 (15.29%) 
Exemples: nadajuez, namchaithailand 
 
Type de complexité : Minscules et caractères spéciaux (minuscules alphabétiques et spéciaux) 
Nombre d’enregistrements RockYou2021 : 5394563 (5.36%) 
ExEmples: pimbava-os, @mb@|it 

Type de complexité : Lettres minuscules et majuscules et caractères spéciaux (Alphabétiques et spéciaux mélangés) 
Nombre d’enregistrements RockYou2021 : 2,432,456 (2.42%) 
Exemples: All’Arrabbiatela, Baker_tentb 

Type de complexité : Lettres minuscules et majuscules (alphabétiques mélangés)
Nombre d’enregistrements RockYou2021 :  6,737,899 (6.69%) 
Exemples: DenisedeRidder, BlackMightyWax 

Type de complexité : Lettres majuscules et chiffres (alphanumériques majuscules) 
Nombre d’enregistrements RockYou2021 : 5,044,179 (5.01%) 
Exemples: CIZAWOVY1, EDUARDO6592 
 
Type de complexité : Lettres majuscules et caractères spéciaux (majuscules alphabétiques et spéciaux)
Nombre d’enregistrements RockYou2021 : 284,279 (0.28%) 
Exemples: ALTNØGLEN, ATMOSF{{RIIN 
 
Type de complexité : Lettres minuscules, caractères spéciaux et chiffres (minuscules alphanumériques et spéciaux)
Nombre d’enregistrements RockYou2021 : 3,811,000 (3.78%) 
Exemples: rhs;ysq52, promu|gat3 

Type de complexité :  Nombres uniquement (numériques) 
Nombre d’enregistrements RockYou2021 : 3,303,380 (3.28%) 
Exemples: 66748719, 87925501 

Type de complexité : Lettres minuscules et majuscules, caractères spéciaux et chiffres (alphanumériques mélangés et spéciaux)
Nombre d’enregistrements RockYou2021 : 1,582,514 (1.57%) 
Exemples: D3PR3Da7!0NS, 75Henri- 

Type de complexité : Lettres majuscules uniquement (majuscules alphabétiques) 
Nombre d’enregistrements RockYou2021 : 1,154,030 (1.15%) 
Exemples: ATTRATIV, ENBOSTADSHUS 

Type de complexité : Lettres majuscules, caractères spéciaux et chiffres (majuscules alphanumériques et spéciaux)
Nombre d’enregistrements RockYou2021 462,041 (0.46%) 
Exemples: 9753(OL>@$^*, <MNBGJL”_098 

Type de complexité : Caractères spéciaux et chiffres (spéciaux et numériques)
Nombre d’enregistrements RockYou2021 : 274,758 (0.27%) 
Exemples: @12345678910111213@, 8#####@*_*_*_(0-0) 

La répartition ci-dessus indique qu’il n’est pas nécessaire d’ajouter la majeure partie de RockYou2021 à une liste de protection par mot de passe violé, car des règles de complexité suffisantes pourraient protéger contre plus de 95 % de tous les enregistrements de RockYou2021. En exigeant simplement des caractères majuscules, minuscules, numériques et spéciaux, on pourrait exclure qu’un mot de passe valide soit contenu dans les catégories suivantes (comprenant 96,5 % de notre échantillon).

Recommandations de politique de mot de passe pour RockYou2021

Il n’existe pas de recommandation unique en matière de politique de mot de passe pour les organisations qui cherchent à prévenir les attaques en utilisant la liste RockYou2021. Chaque organisation aura des besoins de conformité et des préoccupations de sécurité différentes.

Cependant, la meilleure défense contre une tentative de force brute ou de craquage de hachages utilisant cette liste de mots serait de recourir à des phrases de passe ou des chaînes complexes suffisamment longues. Comme le recommande la Publication Spéciale 800-63B du NIST, section 5.1.1.2,

« Les vérificateurs DOIVENT exiger que les secrets mémorisés choisis par l’abonné aient une longueur d’au moins 8 caractères. Les vérificateurs DEVRAIENT autoriser les secrets mémorisés choisis par l’abonné d’une longueur d’au moins 64 caractères. »

Si elles cherchent à utiliser la longueur des mots de passe comme moyen de défense, les organisations pourraient simplement exiger des mots de passe ou des phrases de passe longs. La majorité des enregistrements de RockYou2021 comportaient moins de 22 caractères et la plupart des enregistrements les plus longs n’étaient pas lisibles par l’homme. Les organisations pourraient encourager l’utilisation de phrases de passe, en exigeant un minimum de ce nombre de caractères, ou fixer un minimum plus bas mais encourager les mots de passe plus longs avec le vieillissement des mots de passe basé sur la longueur dans Specops Password Policy.

Une autre approche consiste à combiner une exigence de longueur avec des exigences de caractères. Après avoir examiné l’analyse de la longueur des mots de passe dans RockYou2021, et la complexité des enregistrements contenus dans cet ensemble de données ; notre équipe a constaté que l’utilisation d’une politique de mot de passe fort exigeant 16 caractères ou plus, et encourageant une plus grande entropie dans la phrase de passe, comme certaines lettres majuscules, ou d’autres caractères complexes, permettrait d’exclure plus de 95% des enregistrements sur la liste de mots. Il s’agit non seulement d’une défense contre le craquage des hachages (ou le forçage brutal) via des listes de mots comme Rockyou2021, mais aussi d’une défense contre le forçage brutal de ces enregistrements ; plus le secret est long et plus l’entropie est élevée, plus l’attaque par forçage brutal est coûteuse (et donc moins susceptible de réussir).

Une règle de mot de passe exigeant un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux (de préférence une phrase de passe complexe) pourrait tout simplement exclure l’ensemble de données. En fixant une longueur minimale pour le mot de passe et en utilisant une règle de complexité basée sur les classes de complexité requises, on peut empêcher les utilisateurs de créer des mots de passe faibles pour ce type de génération de listes de mots par force brute. Utiliser Specops Password Policy pour configurer une telle politique :

En fin de compte, RockYou2021 n’était pas une grande fuite de mots de passe violés (même s’il en contenait quelques-uns). Cependant, il s’agit toujours d’une liste de mots que les attaquants peuvent choisir d’utiliser dans leurs attaques contre votre réseau.

L’utilisation de Specops Password Policy ou d’un filtre de mot de passe équivalent pour appliquer une politique de mot de passe saine est la meilleure défense contre les attaques avec ce type d’ensembles de données. Combiné à un service solide de protection contre les violations de mots de passe, tel que Specops Breached Password Protection, les organisations peuvent augmenter le niveau d’effort requis par les attaquants pour pénétrer dans leurs réseaux via une attaque par mot de passe.