Dans Remote Desktop Manager, la phrase secrète partagée (v3) pour le fournisseur de sécurité utilise la fonction de dérivation de clé Argon2id (KDF) pour transformer la phrase secrète en clé de chiffrement.
Le menu Avancé est utilisé pour ajuster la dérivation afin de la rendre plus facile ou plus difficile à calculer.
Pourquoi rendre la dérivation plus difficile à calculer ?
Disons qu'un mauvais acteur obtient l'accès à un ordinateur inscrit dans le fournisseur. Cet attaquant aurait accès à la clé de chiffrement utilisée pour déchiffrer les données sur la base de données, mais n'obtiendrait pas directement accès à la phrase secrète elle-même à cause de la dérivation.
Ce qu'un attaquant peut faire est d'essayer de récupérer le mot de passe par une attaque par force brute, en essayant plusieurs mots de passe et en associant le résultat avec la clé jusqu'à ce qu'il trouve une correspondance. Rendre le hachage plus lent à calculer d'une marge qui n'est pas perceptible pour les utilisateurs légitimes rend beaucoup plus difficile pour un attaquant de forcer le mot de passe en retour.
Cette dérivation n'est effectuée qu'une seule fois lors de l'inscription d'une instance de Remote Desktop Manager au fournisseur de sécurité, donc mettre des valeurs plus élevées ici n'affectera pas les performances des opérations régulières quotidiennes.
Quels sont les différents paramètres?
- Itérations: Communément nommé le paramètre de "temps", il permet directement de rendre la clé plus longue à calculer. Pour prévenir certaines attaques, il doit être au moins à 2, mais plus élevé est préférable.
- Mémoire: C'est le nombre de kilooctets de RAM utilisé par l'algorithme. Augmenter ce nombre fait que le calcul utilise plus de RAM et le rend aussi plus lent. Ce paramètre existe parce que la force brute est généralement effectuée sur le GPU, qui peut calculer beaucoup de dérivations en parallèle mais a une quantité relativement faible de VRAM disponible. L'idée d'augmenter l'utilisation de la RAM est d'étrangler la force brute du GPU via la quantité limitée de VRAM disponible.
- Voies : Il s'agit du nombre de cœurs CPU, si disponibles, qui vont être utilisés pour la dérivation. Augmenter cela rendra le calcul plus rapide tant que vous avez suffisamment de cœurs CPU disponibles pour le calculer.
Quelles valeurs dois-je utiliser ?
Les paramètres par défaut sont suffisamment bons pour prévenir la plupart des attaques par force brute. Cependant, si vous voulez le régler vous-même, vous pouvez suivre ces étapes en utilisant le bouton Tester pour voir combien de temps cela prendrait pour calculer la clé :
- Régler le paramètre Voies au nombre de cœurs CPU du PC avec le moins de cœurs qui va se connecter à la base de données. Par exemple, si les ordinateurs que vous utilisez pour accéder à la base de données ont 2, 4 ou 8 cœurs, régler Voies à 2.
- Définir Itérations à 2 pour l'instant.
- Augmenter le paramètre Mémoire autant que souhaité.
- Si vous arrêtez parce que vous ne voulez pas le rendre plus lent, vous pouvez sauter l'étape 4.
- Si vous arrêtez parce que vous ne voulez pas utiliser plus de RAM, mais que vous êtes prêt à rendre le calcul plus long, continuer à l'étape 4.
- Augmenter le paramètre Itérations aussi haut que souhaité avant qu'il ne devienne trop lent.
Pour plus d'informations, se référer aux ressources suivantes :
Donnez-nous vos commentaires