Rendez vos mots de passe plus forts, sans effort de mémorisation supplémentaire.
Grâce à cette extension, vous pourrez transformer un de vos mots de passe en un autre mot de passe plus résistant aux attaques par force brute, sans avoir l'inconvénient de devoir retenir un mot de passe plus long et plus compliqué.
Supposons que vous vouliez créer un compte sur un site web :
RETENEZ BIEN LE MOT DE PASSE QUE VOUS AVEZ TAPE DANS LE FORMULAIRE DE L'EXTENSION (pas le mot de passe fortifié). Plus tard, à chaque fois que vous voudrez vous connecter à votre compte nouvellement crée, vous devrez retaper votre mot de passe dans le formulaire de l'extension, produire à nouveau le mot de passe fortifié, puis le coller dans le formulaire d'authentification du site.
AUCUN MOT DE PASSE N'EST ENREGISTRÉ SUR VOTRE MACHINE OU AILLEURS. RETENEZ BIEN LE MOT DE PASSE QUE VOUS AVEZ TAPE DANS LE FORMULAIRE DE L'EXTENSION CAR IL N'EST ENREGISTRÉ NULLE PART. CETTE EXTENSION N'EST PAS UN GESTIONNAIRE DE MOTS DE PASSE.
CETTE EXTENSION NE DONNE AUCUNE GARANTIE MINIMALE DE SÉCURITÉ, ET C'EST À VOUS DE BIEN COMPRENDRE CE QUI SE PASSE DERRIÈRE (LIRE UN DÉBUT D'EXPLICATION PLUS BAS).
Nous utilisons une méthode de "key stretching" pour créer, à partir d'un mot de passe, un autre mot de passe plus résistant aux attaques par brute force. Aucun mot de passe n'est enregistré sur votre machine ou sur un serveur distant. Le même mot de passe génèrera toujours le même mot de passe fortifié (notre algorithme est déterministe).
Prenons un exemple pour comprendre :
Pour deviner par force brute un mot de passe de 10 caractères (contenant uniquement des lettres minuscules), un attaquant devra tester environ 26^10 combinaisons avant d'espérer obtenir le bon mot de passe. Supposons que l'attaquant puisse tester 10^13 mots de passe par secondes (pour les plus techniques : cette vitesse semble correspondre à ce que peut fournir un hardware de 1500 € spécialisé dans le SHA-256 à date de juin 2023). Il lui faudra alors approximativement 14 secondes pour deviner votre mot de passe de 10 caractères (26^10 / 10^13).
Mais, si l'on parvient à multiplier par 1 million le temps que prend un attaquant pour tester un seul mot de passe, il ne prendra alors plus 14 secondes, mais 5 mois pour deviner votre mot de passe. C'est bien beau, mais comment effectivement augmenter le temps de chaque essai ? C'est là qu'intervient le "key stretching" : il suffit de faire subir à votre mot de passe une série de transformations longues à calculer. Au lieu de tester "12345" directement, l'attaquant devra d'abord transformer "12345" avec notre (long) algorithme puis tester le résultat de l'algorithme. Pour une personne qui connait effectivement le mot de passe (vous), attendre une seconde au lieu d'une microseconde est quasiment imperceptible. Mais, pour une personne qui teste des milliards et milliards de mots de passe (un attaquant), cette différence de temps est bien plus visible.
Ces calculs sont des exemples destinés à la compréhension : la difficulté supplémentaire (pour l'attaquant) que crée cette fortification de mot de passe dépendra d'énormément de circonstances, changeant d'un site web à l'autre, rendant donc impossible même le calcul d'un ordre de grandeur.