Publicité
Lorsque vous pensez au piratage de mot de passe, vous imaginez probablement un pirate essayant plusieurs centaines de mots de passe sur un seul compte. Bien que cela se produise toujours, ce n'est pas toujours ce qui se passe; parfois, un pirate effectuera plutôt une pulvérisation par mot de passe.
Décrivons ce qu'est la pulvérisation par mot de passe et ce que vous pouvez faire pour vous défendre.
Qu'est-ce que la pulvérisation par mot de passe?
Si une attaque de piratage «normale» implique d'essayer plusieurs mots de passe différents sur quelques comptes, la pulvérisation de mots de passe en est l'inverse. C'est lorsqu'un pirate a accès à de nombreux noms de compte différents et essaie de les pénétrer en utilisant seulement quelques mots de passe.
Les pirates n'effectueront pas la méthode de piratage «normale» si la sécurité du compte est stricte. Un système sécurisé remarquera que quelqu'un essaie à plusieurs reprises d'accéder à un compte et le verrouillera pour protéger la confidentialité de la cible. Vous l'avez peut-être déjà constaté vous-même lorsque vous entrez votre mot de passe dans un service de manière incorrecte trop souvent - cela vous bloque.
Si les pirates n'utilisent qu'un petit nombre de mots de passe par attaque, quels mots de passe utilisent-ils? Le meilleur pari du pirate consiste à utiliser certains des mots de passe les plus couramment utilisés sur Internet. De cette façon, ils maximisent les chances de pouvoir pénétrer à travers cette petite fenêtre d'opportunité.
Les mots de passe que nous utilisons sont-ils faibles?
Bien sûr, cette attaque dépend entièrement de la personne utilisant un mot de passe couramment utilisé sur son compte. De nos jours, cependant, quelle est la probabilité que quelqu'un utilise l'un de ces mots de passe?
Malheureusement, nos habitudes de mot de passe ne se sont pas beaucoup améliorées au fil des ans. le NCSC a réalisé une étude sur les organisations désireuses de tester leur sensibilité à une attaque par pulvérisation. Ils ont constaté que 75% des organisations avaient au moins un compte qui utilisait un mot de passe dans les 1000 premiers mots de passe, et 87% avaient au moins un compte avec un mot de passe dans les 10 000 premiers.
C'est la faille de sécurité que les pulvérisateurs de mots de passe visent à exploiter. Tout ce qu'il faut, c'est qu'un utilisateur d'une organisation utilise un mot de passe faible pour qu'une attaque de pulvérisation fonctionne. Une fois que le pirate informatique est entré dans ce compte, il peut utiliser cet effet de levier pour approfondir le système.
Qui risque une attaque par pulvérisation par mot de passe?
En règle générale, les pirates informatiques utilisent ces attaques contre les grandes entreprises et les organisations. Ils utilisent également la pulvérisation de mots de passe contre les utilisateurs dans une fuite de base de données, où le pirate a un grand nombre de noms de compte à sa disposition mais pas de mot de passe.
Toute situation dans laquelle un pirate a une multitude de comptes à traverser, mais n'a qu'une fenêtre limitée pour attaquer chacun, est lorsque la pulvérisation de mot de passe devient la méthode d'attaque préférée.
Les pirates choisissent la pulvérisation de mot de passe lorsque les comptes sont sévèrement pénalisés pour les entrées incorrectes. Si un pirate obtient des informations sur les comptes d'un site Web, mais que le site Web n'autorise que cinq tentatives de mot de passe avant de verrouiller le compte, un pirate utilisera les cinq mots de passe les plus utilisés dans l'espoir que les gens l'utilisent leur.
Existe-t-il de vrais cas de pulvérisation par mot de passe?
Dans un monde idéal, tout le monde au sein d'une organisation utilisera un mot de passe fort pour empêcher les pulvérisateurs d'entrer. Malheureusement, les pirates ont eu du succès dans le passé avec la tactique, à tel point que Redmond Mag a rapporté comment la pulvérisation par mot de passe a vu une augmentation des cas en 2018.
Beaucoup d'attaques sont dirigées contre les entreprises, vraisemblablement pour voler de précieux documents commerciaux à des fins lucratives. Les organisations peuvent également avoir une structure de nom d'utilisateur qui permet aux pirates de collecter facilement une liste de noms à attaquer.
Threatpost a rendu compte de la façon dont Citrix, entreprise de virtualisation de logiciels, a été frappée par une attaque par pulvérisation après qu'un de ses comptes ait été compromis. Les pirates ont récupéré de précieux documents commerciaux grâce aux autorisations découvertes dans le compte auquel ils ont accédé.
La partie effrayante de cette attaque est à quel point elle était silencieuse; en raison de la nature «basse» de la pulvérisation par mot de passe, elle n'a déclenché aucune alarme ni causé de problème. Citrix ne savait même pas que l'attaque s'était même produite jusqu'à ce que le FBI les informe longtemps après que l'attaque se soit produite.
Comment se défendre contre la pulvérisation par mot de passe
La solution à cette attaque est simple; utilisez de meilleurs mots de passe! La pulvérisation de mots de passe dépend entièrement de votre utilisation d'un mot de passe qui figure dans la liste des 100 mots de passe les plus utilisés.
En rendant votre mot de passe plus compliqué, vous vous retirez du pool de mots de passe qu'un pulvérisateur utilisera contre vous. Pour commencer, si votre mot de passe est l'un des pires mots de passe Les pires mots de passe de 2018, révélésNous connaissons maintenant les pires mots de passe de 2018. Ce sont les mots de passe que vous ne devez jamais utiliser, même si Kanye West vous le demande. Lire la suite , assurez-vous de le changer immédiatement!
Si vous voulez creuser un peu plus, Mot de passe aléatoire a une liste des 10 000 mots de passe les plus utilisés. Il y a un langage adulte dans ces mots de passe, alors faites attention où vous le lisez!
Qu'est-ce qui fait un bon mot de passe?
Maintenant que nous savons ce qui fait un mot de passe faible, qu'est-ce qui en fait un bon?
Le problème avec les mots de passe est que plus ils sont complexes, plus ils sont forts; cependant, plus ils sont difficiles à retenir.
La raison pour laquelle les gens ont recours à des mots de passe comme "mot de passe" ou "12345" est qu'ils sont faciles à mémoriser et à taper. Il n'y a pas de majuscules ou de symboles étranges en eux, mais c'est ce qui est nécessaire pour aider à battre une attaque par pulvérisateur de mot de passe.
Heureusement, il existe des moyens de concevoir un mot de passe à la fois solide et mémorable. Si l'hygiène de votre mot de passe n'est pas à la hauteur, assurez-vous de lire comment créer un mot de passe fort que vous n'oublierez pas Comment créer un mot de passe fort que vous n'oublierez pasSavez-vous comment créer et mémoriser un bon mot de passe? Voici quelques conseils et astuces pour conserver des mots de passe solides et distincts pour tous vos comptes en ligne. Lire la suite .
Se protéger avec des mots de passe plus forts
La pulvérisation de mots de passe est un problème important pour les utilisateurs et les entreprises qui n'utilisent pas de mots de passe forts. Parfois, tout ce qu'il faut, c'est qu'un seul compte ait un mot de passe faible, et les pirates peuvent utiliser l'effet de levier pour endommager davantage le système. Heureusement, en renforçant vos mots de passe et en utilisant 2FA, vous pouvez vous défendre.
Malheureusement, la pulvérisation de mots de passe n'est pas la seule utilisation des pirates tactiques. N'oubliez pas de lire tactiques les plus courantes utilisées pour pirater les mots de passe Les 7 tactiques les plus courantes utilisées pour pirater les mots de passeLorsque vous entendez «violation de la sécurité», qu'est-ce qui vous vient à l'esprit? Un pirate malveillant? Un enfant vivant au sous-sol? La réalité est que tout ce qui est nécessaire est un mot de passe, et les pirates ont 7 façons d'obtenir le vôtre. Lire la suite pour renforcer encore votre sécurité.
Crédit d'image: yekophotostudio /Depositphotos
Diplômé en informatique avec une passion profonde pour tout ce qui concerne la sécurité.
