Détecter les fuites de mots de passe et les vols d'identifiants

Cette page explique comment utiliser la fonctionnalité Password Defense de Fraud Defense pour détecter les fuites de mots de passe et les identifiants compromis afin d'empêcher les reprises de compte et les attaques de type "credential stuffing". Avec Fraud Defense, vous pouvez effectuer des audits réguliers sur les identifiants utilisateur (mots de passe) dans le cadre d'une évaluation afin de vous assurer qu'ils n'ont pas été compromis ou divulgués. Pour effectuer ces évaluations, Google utilise la fonctionnalité Check-up Mots de passe.

Avant de commencer

  1. Préparez votre environnement pour reCAPTCHA.

  2. Configurez Fraud Defense.

  3. Vérifiez que la facturation est activée pour votre Google Cloud projet.

    Pour utiliser la fonctionnalité Password Defense, vous devez associer et activer la facturation dans le projet. Vous pouvez activer la facturation à l'aide d'une carte de crédit ou d'un ID de compte de facturation de projet Google Cloud existant. Si vous avez besoin d'aide pour la facturation, contactez l'assistance Cloud Billing.

Rechercher les identifiants compromis et divulgués

Vous pouvez vérifier si un ensemble d'identifiants a été compromis à l'aide de fonctions de chiffrement ou du conteneur Docker.

Le conteneur Docker est un client Open Source qui implémente le calcul multipartite sécurisé nécessaire pour préserver la confidentialité des utilisateurs finaux et rechercher en toute sécurité les fuites de mots de passe. Pour en savoir plus, consultez le dépôt GitHub. Le conteneur Docker abstrait la complexité de l'implémentation des algorithmes de chiffrement et simplifie le processus d'installation. Il vous permet également d'héberger l'application de conteneur dans votre infrastructure.

Fonction de chiffrement

Pour vérifier si un ensemble d'identifiants a été compromis, utilisez Password Defense lorsque vous créez des évaluations pour des actions telles que les connexions, les modifications de mots de passe et les réinitialisations de mots de passe.

Pour rechercher les fuites de mots de passe et les identifiants compromis, procédez comme suit :

  1. Générez les paramètres de requête.
  2. Créez une évaluation pour détecter les fuites de mots de passe.
  3. Vérifiez les identifiants divulgués à partir d'une évaluation.
  4. Interprétez le verdict et prenez des mesures.

Générer les paramètres de requête

  1. Calculez les paramètres de requête nécessaires à l'aide des fonctions de chiffrement requises par le protocole de confidentialité élevée. Password Defense fournit des bibliothèques Java et TypeScript pour vous aider à générer ces champs :

  2. Pour créer des validations de vérification de mot de passe, créez un objet PasswordCheckVerifier.

    PasswordCheckVerifier verifier = new PasswordCheckVerifier();

  3. Pour lancer une validation, appelez PasswordCheckVerifier#createVerification. Cette méthode utilise le nom d'utilisateur et le mot de passe pour calculer les paramètres permettant d'effectuer la vérification du mot de passe.

    PasswordCheckVerification verification = verifier.createVerification("username", "password").get();

  4. Créez une évaluation à l'aide des paramètres de validation.

    byte[] lookupHashPrefix = verification.getLookupHashPrefix();
byte[] encryptedUserCredentialsHash = verification.getEncryptedUserCredentialsHash();

    Les tableaux d'octets lookupHashPrefix et encryptedUserCredentialsHash contiennent les paramètres requis pour lancer une vérification de mot de passe Assessment.

Créer une évaluation pour détecter les fuites de mots de passe

Utilisez la projects.assessments.create méthode.

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • PROJECT_ID: ID du Google Cloud projet
  • LOOKUP_HASH_PREFIX : préfixe du préfixe de hachage SHA-256 du nom d'utilisateur
  • ENCRYPTED_USER_CREDENTIALS_HASH : hachage Scrypt des identifiants utilisateur chiffrés

Méthode HTTP et URL : 

POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments

Corps JSON de la requête : 

{
  "private_password_leak_verification": {
    "lookup_hash_prefix": "LOOKUP_HASH_PREFIX",
    "encrypted_user_credentials_hash": "ENCRYPTED_USER_CREDENTIALS_HASH"
  }
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante : 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments"

PowerShell

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante : 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/assessments" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :

{
  "name": "projects/698047609967/assessments/fb22000000000000",
  "score": 0,
  "reasons": [],
  "privatePasswordLeakVerification": {
    "lookupHashPrefix": "zoxZwA==",
    "encryptedUserCredentialsHash": "AyRihRcKaGLj/FA/r2uqQY/fzfTaDb/nEcIUMeD3Tygp",
    "reencryptedUserCredentialsHash": "Aw65yEbLM39ww1ridDEfx5VhkWo11tzn/R1B88Qqwr/+"
    "encryptedLeakMatchPrefixes": [
      "n/n5fvPD6rmQPFyb4xk=", "IVQqzXsbZenaibID6OI=", ..., "INeMMndrfnlf6osCVvs=",
      "MkIpxt2x4mtyBnRODu0=", "AqUyAUWzi+v7Kx03e6o="]
  }
}

Vérifier les identifiants divulgués à partir d'une évaluation

Dans la réponse de l'évaluation, extrayez les champs reEncryptedUserCredentials et encryptedLeakMatchPrefixes, puis transmettez-les à l'objet de validation pour déterminer si les identifiants ont été divulgués ou non.

PasswordCheckResult result = verifier.verify(verification,
result.getReEncryptedUserCredentials(),
result.getEncryptedLeakMatchPrefixes()
).get();

System.out.println("Credentials leaked: " + result.areCredentialsLeaked());

Exemple de code

Node.js (TypeScript)

Pour savoir comment implémenter la détection des fuites de mots de passe à l'aide de Node.js (TypeScript), consultez l'exemple de code TypeScript sur GitHub.

Java

Pour vous authentifier auprès de Fraud Defense, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez Configurer l'authentification pour un environnement de développement local. 


import com.google.cloud.recaptcha.passwordcheck.PasswordCheckResult;
import com.google.cloud.recaptcha.passwordcheck.PasswordCheckVerification;
import com.google.cloud.recaptcha.passwordcheck.PasswordCheckVerifier;
import com.google.cloud.recaptchaenterprise.v1.RecaptchaEnterpriseServiceClient;
import com.google.protobuf.ByteString;
import com.google.recaptchaenterprise.v1.Assessment;
import com.google.recaptchaenterprise.v1.CreateAssessmentRequest;
import com.google.recaptchaenterprise.v1.PrivatePasswordLeakVerification;
import java.io.IOException;
import java.util.List;
import java.util.concurrent.ExecutionException;
import java.util.stream.Collectors;

public class CreatePasswordLeakAssessment {

  public static void main(String[] args)
      throws IOException, ExecutionException, InterruptedException {
    // TODO(developer): Replace these variables before running the sample.
    // Google Cloud Project ID.
    String projectID = "project-id";

    // Username and password to be checked for credential breach.
    String username = "username";
    String password = "password";

    checkPasswordLeak(projectID, username, password);
  }

  /*
   * Detect password leaks and breached credentials to prevent account takeovers
   * (ATOs) and credential stuffing attacks.
   * For more information, see:
   * https://cloud.google.com/recaptcha-enterprise/docs/check-passwords and
   * https://security.googleblog.com/2019/02/protect-your-accounts-from-data.html

   * Steps:
   * 1. Use the 'create' method to hash and Encrypt the hashed username and
   * password.
   * 2. Send the hash prefix (26-bit) and the encrypted credentials to create
   * the assessment.(Hash prefix is used to partition the database.)
   * 3. Password leak assessment returns a list of encrypted credential hashes to
   * be compared with the decryption of the returned re-encrypted credentials.
   * Create Assessment also sends back re-encrypted credentials.
   * 4. The re-encrypted credential is then locally verified to see if there is
   * a match in the database.
   *
   * To perform hashing, encryption and verification (steps 1, 2 and 4),
   * reCAPTCHA Enterprise provides a helper library in Java.
   * See, https://github.com/GoogleCloudPlatform/java-recaptcha-password-check-helpers

   * If you want to extend this behavior to your own implementation/ languages,
   * make sure to perform the following steps:
   * 1. Hash the credentials (First 26 bits of the result is the
   * 'lookupHashPrefix')
   * 2. Encrypt the hash (result = 'encryptedUserCredentialsHash')
   * 3. Get back the PasswordLeak information from
   * reCAPTCHA Enterprise Create Assessment.
   * 4. Decrypt the obtained 'credentials.getReencryptedUserCredentialsHash()'
   * with the same key you used for encryption.
   * 5. Check if the decrypted credentials are present in
   * 'credentials.getEncryptedLeakMatchPrefixesList()'.
   * 6. If there is a match, that indicates a credential breach.
   */
  public static void checkPasswordLeak(
      String projectID, String username, String password)
      throws ExecutionException, InterruptedException, IOException {

    // Instantiate the java-password-leak-helper library to perform the cryptographic functions.
    PasswordCheckVerifier passwordLeak = new PasswordCheckVerifier();

    // Create the request to obtain the hash prefix and encrypted credentials.
    PasswordCheckVerification verification =
        passwordLeak.createVerification(username, password).get();

    byte[] lookupHashPrefix = verification.getLookupHashPrefix();
    byte[] encryptedUserCredentialsHash = verification.getEncryptedUserCredentialsHash();

    // Pass the credentials to the createPasswordLeakAssessment() to get back
    // the matching database entry for the hash prefix.
    PrivatePasswordLeakVerification credentials =
        createPasswordLeakAssessment(
            projectID,
            lookupHashPrefix,
            encryptedUserCredentialsHash);

    // Convert to appropriate input format.
    List<byte[]> leakMatchPrefixes =
        credentials.getEncryptedLeakMatchPrefixesList().stream()
            .map(x -> x.toByteArray())
            .collect(Collectors.toList());

    // Verify if the encrypted credentials are present in the obtained match list.
    PasswordCheckResult result =
        passwordLeak
            .verify(
                verification,
                credentials.getReencryptedUserCredentialsHash().toByteArray(),
                leakMatchPrefixes)
            .get();

    // Check if the credential is leaked.
    boolean isLeaked = result.areCredentialsLeaked();
    System.out.printf("Is Credential leaked: %s", isLeaked);
  }

  // Create a reCAPTCHA Enterprise assessment.
  // Returns:  PrivatePasswordLeakVerification which contains
  // reencryptedUserCredentialsHash and credential breach database
  // whose prefix matches the lookupHashPrefix.
  private static PrivatePasswordLeakVerification createPasswordLeakAssessment(
      String projectID,
      byte[] lookupHashPrefix,
      byte[] encryptedUserCredentialsHash)
      throws IOException {
    try (RecaptchaEnterpriseServiceClient client = RecaptchaEnterpriseServiceClient.create()) {

      // Set the hashprefix and credentials hash.
      // Setting this will trigger the Password leak protection.
      PrivatePasswordLeakVerification passwordLeakVerification =
          PrivatePasswordLeakVerification.newBuilder()
              .setLookupHashPrefix(ByteString.copyFrom(lookupHashPrefix))
              .setEncryptedUserCredentialsHash(ByteString.copyFrom(encryptedUserCredentialsHash))
              .build();

      // Build the assessment request.
      CreateAssessmentRequest createAssessmentRequest =
          CreateAssessmentRequest.newBuilder()
              .setParent(String.format("projects/%s", projectID))
              .setAssessment(
                  Assessment.newBuilder()
                      // Set request for Password leak verification.
                      .setPrivatePasswordLeakVerification(passwordLeakVerification)
                      .build())
              .build();

      // Send the create assessment request.
      Assessment response = client.createAssessment(createAssessmentRequest);

      // Get the reCAPTCHA Enterprise score.
      float recaptchaScore = response.getRiskAnalysis().getScore();
      System.out.println("The reCAPTCHA score is: " + recaptchaScore);

      // Get the assessment name (id). Use this to annotate the assessment.
      String assessmentName = response.getName();
      System.out.println(
          "Assessment name: " + assessmentName.substring(assessmentName.lastIndexOf("/") + 1));

      return response.getPrivatePasswordLeakVerification();
    }
  }
}

Conteneur Docker

Pour vérifier si des identifiants ont été divulgués, envoyez en toute sécurité la paire d'identifiants (nom d'utilisateur et mot de passe) au conteneur à l'aide d'une connexion localhost ou en configurant HTTPS sur le conteneur. Le conteneur chiffre ensuite ces identifiants avant d'effectuer une requête API et vérifie le résultat rechiffré localement.

Pour envoyer des requêtes au conteneur Docker, procédez comme suit :

  1. Configurez Docker.
  2. Préparez un environnement pour le conteneur Docker.
  3. Créez et exécutez le conteneur.
  4. Envoyez des requêtes HTTP au conteneur.
  5. Interprétez le verdict et prenez des mesures.

Se préparer à exécuter le conteneur Docker

  1. Choisissez une stratégie d'authentification.

    Le conteneur accepte la configuration des identifiants par défaut de l'application ou une clé API pour l'authentification.

  2. Configurez le conteneur PLD pour qu'il s'exécute avec HTTPS ou en mode démo localhost uniquement.

    Étant donné que le conteneur accepte les identifiants sensibles des utilisateurs finaux (noms d'utilisateur et mots de passe), il doit être exécuté avec HTTPS ou en mode démo localhost uniquement. Pour obtenir des conseils sur la configuration HTTPS, consultez le fichier README sur GitHub.

Les étapes suivantes utilisent l'authentification par clé API et exécutent le client en mode démo localhost uniquement.

Créer et exécuter le conteneur Docker

  1. Clonez le dépôt :

    git clone github.com/GoogleCloudPlatform/reCAPTCHA-PLD

  2. Créez le conteneur :

    docker build . -t pld-local

  3. Démarrez le conteneur :

    docker run --network host \
-e RECAPTCHA_PROJECT_ID=PROJECT_ID \
-e GOOGLE_CLOUD_API_KEY=API_KEY \
pld-local

Le conteneur démarre et commence à traiter les requêtes sur le port 8080 de localhost.

Envoyer des requêtes localhost

Avant d'utiliser les données de requête ci-dessous, effectuez les remplacements suivants :

  • LEAKED_USERNAME : nom d'utilisateur de la paire d'identifiants divulgués.
  • LEAKED_PASSWORD : mot de passe de la paire d'identifiants divulgués.

Méthode HTTP et URL : 

POST http://localhost:8080/createAssessment/

Corps JSON de la requête : 

{
    "username":"LEAKED_USERNAME",
    "password":"LEAKED_PASSWORD"
}

Pour envoyer votre requête, choisissez l'une des options suivantes :

curl

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante : 

curl -X POST \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "http://localhost:8080/createAssessment/"

PowerShell

Enregistrez le corps de la requête dans un fichier nommé request.json, puis exécutez la commande suivante : 

$headers = @{  }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://localhost:8080/createAssessment/" | Select-Object -Expand Content

Vous devriez recevoir une réponse JSON de ce type :


  { "leakedStatus":"LEAKED" }


 OR


  { "leakedStatus":"NO_STATUS" }

Interpréter le verdict et prendre des mesures

La réponse de l'évaluation indique si les identifiants ont été divulgués et vous fournit des informations que vous pouvez utiliser pour prendre les mesures appropriées afin de protéger vos utilisateurs.

Le tableau suivant répertorie les actions recommandées que vous pouvez effectuer lorsqu'un mot de passe divulgué est détecté :

Mot de passe divulgué détecté Actions pour protéger votre utilisateur
Lors de la connexion
  • Refusez la connexion et demandez au client de choisir un autre mot de passe, puis déclenchez un test MFA, si possible.
  • Rappelez à l'utilisateur d'utiliser des mots de passe uniques pour tous ses comptes.
  • Exigez des mots de passe sécurisés sur votre site.
  • Invitez l'utilisateur à activer l'authentification multifacteur (MFA) s'il ne l'utilise pas.
Lors de la création d'un compte ou de la réinitialisation d'un mot de passe
  • Demandez à l'utilisateur de modifier son mot de passe.
  • Déclenchez un flux d'authentification multifacteur (MFA).

Si vous n'utilisez pas déjà de fournisseur MFA sur votre site, vous pouvez utiliser la fonctionnalité MFA de Fraud Defense.

Étape suivante