Qu'est-ce que Hachage de mots de passe ?
Le hachage de mots de passe est la pratique consistant à appliquer à un mot de passe une fonction cryptographique à sens unique et coûteuse en calcul — combinée à un sel unique — pour produire une empreinte de longueur fixe capable de vérifier le mot de passe sans le stocker sous une forme récupérable.
Aussi connu sous le nom de : password hash, password digest
Stocker des mots de passe en clair est l'une des pratiques les plus dangereuses du développement logiciel. Si une base de données est compromise, les mots de passe en clair sont immédiatement exploitables pour des prises de contrôle de comptes — non seulement sur le service touché, mais sur tout autre service où les utilisateurs ont réutilisé le même mot de passe. Le hachage de mots de passe remplace le stockage en clair par des empreintes irréversibles qui peuvent vérifier une tentative de mot de passe mais ne peuvent pas être inversées pour retrouver le mot de passe d'origine.
Toutes les fonctions de hachage ne conviennent pas aux mots de passe. Les fonctions de hachage à usage général comme SHA-256 sont trop rapides : les GPU modernes peuvent calculer des milliards de hachages SHA-256 par seconde, ce qui rend les attaques par force brute triviales. Les algorithmes de hachage de mots de passe sont délibérément conçus pour être lents, exigeant un temps CPU, de la mémoire, ou les deux, pour chaque calcul de hachage. Cette lenteur est configurable via des paramètres tels que le nombre d'itérations (PBKDF2), le facteur de coût (bcrypt) ou les réglages de mémoire et de parallélisme (Argon2).
L'évolution du hachage de mots de passe reflète la course aux armements entre défenseurs et attaquants. PBKDF2 (2000) a ajouté un nombre d'itérations configurable. bcrypt (1999) a introduit une exigence de mémoire fixe qui résiste à l'accélération par GPU. scrypt (2009) a ajouté une dureté mémoire configurable. Argon2 (2015), lauréat du Password Hashing Competition, offre un réglage du temps CPU, de la mémoire et du parallélisme. Chaque génération répond à de nouvelles capacités d'attaque ; le choix dépend de l'environnement de déploiement et du modèle de menace.
Comment Vaulted utilise Hachage de mots de passe
Vaulted ne stocke aucun mot de passe d'utilisateur, puisqu'il n'a pas de comptes. Les principes du hachage de mots de passe inspirent toutefois directement la fonction de protection par phrase secrète. Quand tu définis une phrase secrète pour un secret, PBKDF2 — un algorithme de hachage de mots de passe — est utilisé pour en dériver une clé. La lenteur délibérée de 100 000 itérations PBKDF2 rend impraticable le forçage brut de la phrase secrète et protège la clé encapsulée même si un attaquant obtient le texte chiffré et le sel.