Password strength measurement

Autor: Valois, Mathieu
Přispěvatelé: Equipe SAFE - Laboratoire GREYC - UMR6072, Groupe de Recherche en Informatique, Image et Instrumentation de Caen (GREYC), Centre National de la Recherche Scientifique (CNRS)-École Nationale Supérieure d'Ingénieurs de Caen (ENSICAEN), Normandie Université (NU)-Normandie Université (NU)-Université de Caen Normandie (UNICAEN), Normandie Université (NU)-Centre National de la Recherche Scientifique (CNRS)-École Nationale Supérieure d'Ingénieurs de Caen (ENSICAEN), Normandie Université (NU), Normandie Université, Jean-Marie Le Bars, Groupe de Recherche en Informatique, Image, Automatique et Instrumentation de Caen (GREYC), Université de Caen Normandie (UNICAEN), Normandie Université (NU)-Normandie Université (NU)-École Nationale Supérieure d'Ingénieurs de Caen (ENSICAEN), Normandie Université (NU)-Centre National de la Recherche Scientifique (CNRS), STAR, ABES
Jazyk: francouzština
Rok vydání: 2019
Předmět:
Zdroj: Cryptographie et sécurité [cs.CR]. Normandie Université, 2019. Français. ⟨NNT : 2019NORMC251⟩
Popis: At the era where our digital identity is always more melt with our personal identity, the needs in security of our online accounts are even more pronounced. Passwords are both the most used authentication mean and the weakest link in the security chain. Despite the undeniable weakness of online passwords, they remain the best authentication mean gathering security, accessibility and privacy protection.The purpose of this thesis is to ease the design of passwords strength measurement methods relevant regarding the most sophisticated attacks on passwords. Such attacks lay on probabilistic models which model the way that passwords are chosen. These attacks are very efficient to find more complex passwords that are usually not found by naive techniques. This work lay on three contributions to spot the key aspects of a modern password strength measurement method. The first contribution models the attack process on passwords, formalizes and measures the performance of such a process. The second contribution shows that currently deployed strength measurement techniques lack to protect passwords against sophisticated attacks. The third contribution analyses the algorithms of sophisticated attacks by observing their behaviour to design techniques that increase the execution cost of these attacks. Validating the methods has been done by using passwords from publicly disclosed leaks, for a total of more than 500 millions passwords.
À l'ère où notre identité numérique se confond toujours davantage avec notre identité personnelle, les besoins en sécurité de nos comptes en ligne sont d'autant plus marqués. Les mots de passe sont à la fois la manière de s'authentifier la plus utilisée et à la fois le maillon le plus faible de la chaîne de sécurité. Malgré l'indéniable fragilité de la plupart des mots de passe utilisés en ligne, le mot de passe reste le meilleur moyen de s'authentifier réunissant sécurité, accessibilité et respect de la vie privée.L'objectif de cette thèse est de faciliter la conception de mesures de robustesse des mots de passe qui soient pertinentes vis-à-vis des attaques les plus sophistiquées sur les mots de passe. Ces attaques reposent sur des modèles probabilistes de la manière dont les utilisateurs choisissent leur mot de passe. Il s'avèrent que ces attaques sont très efficaces pour trouver des mots de passe plus complexes que ceux habituellement trouvés par les méthodes naïves. Ce travail repose sur trois contributions pour identifier les points clés d'une mesure de robustesse des mots de passe moderne. La première contribution modélise le processus d'attaque sur les mots de passe, formalise et mesure la performance d'un tel processus. La deuxième contribution se charge de montrer que les méthodes actuellement déployées pour mesurer la robustesse des mots de passe ne sont pas suffisantes pour se prémunir des attaques sophistiquées. La troisième contribution analyse algorithmiquement les attaques sophistiquées en observant leur comportement dans le but de concevoir des méthodes efficaces pour augmenter le coût d'exécution de ces attaques. La validation des méthodes s'est effectuée en utilisant des mots de passe issus de fuites de données publiques, totalisant plus de 500 millions de mots de passe.
Databáze: OpenAIRE