Comment se désabonner des messages texte automatisés
4 octobre 2020
Une alternative ouverte à Intel et ARM: qu'est-ce que RISC-V?
4 octobre 2020
0

Les attaques par dictionnaire menacent la sécurité de vos réseaux et plates-formes. Ils essaient de compromettre un compte utilisateur en générant un mot de passe correspondant. Apprenez comment ils fonctionnent et comment les battre.

Attaques de dictionnaire

Les comptes d'utilisateurs sur les systèmes informatiques, les sites Web et les services hébergés doivent être protégés contre tout accès non autorisé. L'authentification de l'utilisateur est le moyen le plus courant de procéder. Les utilisateurs reçoivent un ID utilisateur unique (pour les comptes en ligne, il s'agit généralement de leur adresse e-mail) et un mot de passe. Ces deux informations doivent être fournies, vérifiées et vérifiées avant que l'utilisateur puisse accéder au compte.

Les attaques par dictionnaire sont une famille de cyberattaques qui partagent une technique d'attaque commune. Ils utilisent de longues listes – parfois des bases de données entières – de mots et un logiciel. Le logiciel lit chaque mot de la liste à tour de rôle et essaie de l'utiliser comme mot de passe pour le compte attaqué. Si l'un des mots de la liste correspond au mot de passe authentique, le compte est compromis.

Ces attaques diffèrent du type d'attaque par force brute plus primitif. Les attaques par force brute tentent des combinaisons aléatoires de lettres et de caractères dans l'espoir qu'elles tombent sur le mot de passe par hasard et bonne chance. Ces attaques sont inefficaces. Ils prennent beaucoup de temps et de calculs.

L'effort nécessaire pour déchiffrer un mot de passe augmente massivement avec chaque lettre supplémentaire que vous ajoutez à votre mot de passe. Il y a des ordres de grandeur plus de combinaisons dans un mot de passe à huit caractères que dans un mot de passe à cinq caractères. Il n'y a aucune garantie qu'une attaque par force brute réussira un jour. Mais avec les attaques par dictionnaire, si l'une des entrées de la liste correspond à votre mot de passe, l'attaque réussira éventuellement.

Bien entendu, la plupart des réseaux d'entreprise appliqueront le verrouillage automatique des comptes après un certain nombre de tentatives d'accès infructueuses. Très souvent, les acteurs de la menace commencent par les sites Web d'entreprise, qui ont souvent des contrôles moins stricts sur les tentatives d'accès. Et s'ils ont accès au site Web, ils peuvent essayer ces informations d'identification sur le réseau de l'entreprise. Si l'utilisateur a réutilisé le même mot de passe, les acteurs de la menace se trouvent désormais dans votre réseau d'entreprise. Dans la plupart des cas, le site Web ou le portail n'est pas la véritable cible. C'est un poste de mise en scène en route au prix réel de l'acteur menaçant: le réseau d'entreprise

L'accès au site Web permet aux acteurs menaçants d'injecter un code malveillant qui surveillera les tentatives de connexion et enregistrera les ID utilisateur et les mots de passe. Il enverra les informations aux acteurs de la menace ou les enregistrera jusqu'à ce qu'ils reviennent sur le site pour les collecter.

Pas seulement des mots dans un fichier

Les premières attaques par dictionnaire n'étaient que cela. Ils ont utilisé des mots du dictionnaire. C'est pourquoi «ne jamais utiliser un mot du dictionnaire» faisait partie des conseils sur le choix d'un mot de passe fort.

Ne pas tenir compte de ce conseil et choisir un mot du dictionnaire de toute façon, puis y ajouter un chiffre pour qu'il ne corresponde pas à un mot du dictionnaire, est tout aussi médiocre. Les acteurs de la menace qui écrivent le logiciel d'attaque par dictionnaire sont avisés de cela. Le a développé une nouvelle technique qui essaie chaque mot de la liste, plusieurs fois. À chaque tentative, des chiffres sont ajoutés à la fin du mot. En effet, les gens utilisent souvent un mot et ajoutent un chiffre tel que 1, puis 2, et ainsi de suite, chaque fois qu'ils doivent changer leur mot de passe.

Parfois, ils ajoutent un nombre à deux ou quatre chiffres pour représenter une année. Cela peut représenter un anniversaire, un anniversaire, l'année où votre équipe a remporté la coupe ou un autre événement important. Parce que les gens utilisent le nom de leurs enfants ou d'autres proches comme mots de passe, les listes de dictionnaires ont été élargies pour inclure les noms masculins et féminins.

Et le logiciel a de nouveau évolué. Les schémas qui substituent des chiffres aux lettres, tels que 1 pour «i», 3 pour «e», 5 pour «s», etc. n'ajoutent aucune complexité significative à votre mot de passe. Le logiciel connaît les conventions et fonctionne également grâce à ces combinaisons.

De nos jours, toutes ces techniques sont encore utilisées, ainsi que d’autres listes qui ne contiennent pas les mots du dictionnaire standard. Ils contiennent des mots de passe réels.

D'où proviennent les listes de mots de passe

Le bien-connu Ai-je été pwned Le site Web stocke une collection interrogeable de plus de 10 milliards de comptes compromis. Chaque fois qu'il y a une violation de données, les responsables du site tentent d'obtenir les données. S'ils parviennent à l'acquérir, ils l'ajoutent à leurs bases de données.

Vous pouvez rechercher librement leur base de données d'adresses e-mail. Si votre adresse e-mail se trouve dans la base de données, on vous dit quelle violation de données a divulgué vos informations. Par exemple, j'ai trouvé l'une de mes anciennes adresses e-mail dans le Ai-je été pwned base de données. Il a été divulgué lors d'une violation du site Web LinkedIn en 2016. Cela signifie que mon mot de passe pour ce site aurait également été violé. Mais comme tous mes mots de passe sont uniques, tout ce que j'avais à faire était de changer le mot de passe de ce site.

Ai-je été pwned a une base de données distincte pour les mots de passe. Vous ne pouvez pas faire correspondre l'adresse e-mail aux mots de passe sur le Ai-je été pwned site, pour des raisons évidentes. Si vous recherchez votre mot de passe et le trouvez dans la liste, cela ne signifie pas nécessairement que le mot de passe provient de l'un de vos comptes. Avec 10 milliards de comptes piratés, il y aura des entrées dupliquées. Le point intéressant est que l'on vous dit à quel point ce mot de passe est populaire. Vous pensiez que vos mots de passe étaient uniques? Probablement pas.

Mais que le mot de passe de la base de données provienne ou non de l'un de vos comptes, s'il se trouve sur le Ai-je été pwned site Web, il s'agira de listes de mots de passe utilisées par le logiciel d'attaque des acteurs de la menace. Peu importe à quel point votre mot de passe est obscur ou obscur. S'il se trouve dans les listes de mots de passe, il ne peut pas être utilisé – changez-le immédiatement.

Variations d'attaques par simulation de mot de passe

Même avec des attaques relativement simples comme les attaques par dictionnaire, l’attaquant peut utiliser des recherches simples pour essayer de faciliter le travail du logiciel.

Par exemple, ils peuvent s'inscrire ou s'inscrire partiellement sur le site qu'ils souhaitent attaquer. Ils pourront alors voir les règles de complexité des mots de passe pour ce site. Si la longueur minimale est de huit caractères, le logiciel peut être configuré pour commencer par des chaînes de huit caractères. Il est inutile de tester toutes les chaînes de quatre, cinq, six et sept caractères. S'il y a des caractères interdits, ils peuvent être supprimés de «l'alphabet» que le logiciel peut utiliser.

Voici une brève description des différents types d'attaques basées sur des listes.

  • Attaque traditionnelle par force brute: En fait, il ne s’agit pas d’une attaque basée sur des listes. Un progiciel dédié et spécialement conçu génère toutes les combinaisons de lettres, de chiffres et d'autres caractères tels que la ponctuation et les symboles, dans des chaînes de plus en plus longues. Il essaie chacun comme mot de passe sur le compte attaqué. S'il arrive à générer une combinaison de caractères correspondant au mot de passe du compte attaqué, ce compte est compromis.
  • Attaque de dictionnaire: Un progiciel dédié et spécialement conçu prend un mot à la fois dans une liste de mots du dictionnaire et les essaie comme mot de passe pour le compte attaqué. Des transformations peuvent être appliquées aux mots du dictionnaire, par exemple en leur ajoutant des chiffres et en substituant des chiffres aux lettres.
  • Attaque de recherche de mot de passe: Similaire à une attaque par dictionnaire, mais les listes de mots contiennent des mots de passe réels. Un logiciel automatisé lit un mot de passe à la fois à partir d'une énorme liste de mots de passe collectés à partir de violations de données.
  • Attaque intelligente de recherche de mot de passe: Comme une attaque par mot de passe, mais les transformations de chaque mot de passe sont tentées ainsi que le mot de passe «nu». Les transformations émulent des astuces de mots de passe couramment utilisées, telles que la substitution de voyelles par des chiffres.
  • Attaque API: Au lieu d'essayer de pirater le compte d'un utilisateur, ces attaques utilisent un logiciel pour générer des chaînes de caractères qui, espèrent-elles, correspondent à la clé d'un utilisateur pour une interface de programmation d'application. S'ils peuvent accéder à l'API, ils pourront peut-être l'exploiter pour exfiltrer des informations sensibles ou des droits d'auteur intellectuels.

Un mot sur les mots de passe

Les mots de passe doivent être robustes, uniques et sans rapport avec tout ce qui pourrait être découvert ou déduit à votre sujet, comme les noms d'enfants. Les phrases de passe sont meilleures que les mots de passe. Trois mots sans rapport avec des signes de ponctuation constituent un modèle très solide pour un mot de passe. Contre-intuitivement, les phrases de passe utilisent couramment des mots du dictionnaire, et nous avons toujours été avertis de ne pas utiliser de mots du dictionnaire dans les mots de passe. Mais les combiner de cette manière crée un problème très difficile à résoudre pour le logiciel d'attaque.

Nous pouvons utiliser le Quel est le niveau de sécurité de mon mot de passe site Web pour tester la force de nos mots de passe.

  • nuagesavvyit: Temps estimé pour craquer: trois semaines.
  • cl0uds4vvy1t: Estimation du temps de fissuration: trois ans.
  • trente.feather.girder: Temps estimé pour craquer: 41 quadrillions d'années!

Et n'oubliez pas la règle d'or. Les mots de passe ne doivent être utilisés que sur un seul système ou site Web. Ils ne doivent jamais être utilisés à plus d'un endroit. Si vous utilisez des mots de passe dans plus d'un système et que l'un de ces systèmes est violé, tous les sites et systèmes sur lesquels vous avez utilisé ce mot de passe sont menacés car votre mot de passe sera entre les mains des auteurs de la menace – et dans leurs listes de mots de passe . Que votre mot de passe prenne ou non 41 quadrillions d'années à se déchiffrer, s'il figure dans leurs listes de mots de passe, le temps de piratage n'a aucune importance.

Si vous avez trop de mots de passe à mémoriser, utilisez un gestionnaire de mots de passe.

EN RELATION: Pourquoi utiliser un gestionnaire de mots de passe et comment démarrer

Comment se protéger contre les attaques par force brute

Une stratégie défensive en couches est toujours la meilleure. Aucune mesure défensive ne vous rendra immunisé contre les attaques par dictionnaire, mais vous pouvez envisager un certain nombre de mesures qui se compléteront et réduiront considérablement le risque que vous soyez vulnérable à ces attaques.

  • Activer l'authentification multifacteur lorsque c'est possible. Cela apporte quelque chose de physique que l'utilisateur possède, tel qu'un téléphone portable ou une clé USB ou un porte-clés, dans l'équation. Les informations envoyées à une application sur le téléphone ou les informations contenues dans le porte-clés ou la clé USB sont intégrées au processus d'authentification. L'ID utilisateur et le mot de passe seuls sont insuffisants pour accéder au système.
  • Utilisez des mots de passe et des phrases de passe robustes qui sont uniques et stockées en toute sécurité sous une forme cryptée.
  • Créer et déployer une politique de mot de passe qui régit l'utilisation, la protection et la formulation acceptable des mots de passe. Présentez-le à tout le personnel et rendez-le obligatoire.
  • Limiter les tentatives de connexion à un petit nombre. Soit verrouiller le compte lorsque le nombre de tentatives infructueuses a été atteint, soit le verrouiller et forcer un changement de mot de passe.
  • Activer les captchas ou d'autres étapes d'authentification secondaires basées sur l'image. Celles-ci sont destinées à arrêter les bots et les logiciels de mots de passe car un humain doit interpréter l'image.
  • Envisagez d'utiliser un gestionnaire de mots de passe. Un gestionnaire de mots de passe peut générer des mots de passe complexes pour vous. Il se souvient du mot de passe associé à quel compte, ce qui vous évite d’avoir besoin. Un gestionnaire de mots de passe est le moyen le plus simple d'avoir des mots de passe uniques et en fonte pour chaque compte que vous devez suivre.

Autres articles

5 juin 2024

Le Scénario Pédagogique dans le Milieu des Formateurs

En savoir plus
16 mai 2024

Les Meilleurs Buzz sur TikTok : Qu’est-ce qui Fait le Succès ?

En savoir plus
8 avril 2024

Développement des compétences émotionnelles en entreprise : l’importance des ateliers de développement d’équipe efficaces

En savoir plus
//]]>