26 février 2025The Hacker NewsProtection d’identité / sécurité de mot de passe

Les mots de passe sont rarement appréciés jusqu’à ce qu’une violation de sécurité se produise; Il suffit de dire que l’importance d’un mot de passe fort ne devient clair que face aux conséquences d’une faible. Cependant, la plupart des utilisateurs finaux ne savent pas à quel point leurs mots de passe sont vulnérables pour les méthodes de craquement de mot de passe les plus courantes. Voici les trois techniques courantes pour craquer les mots de passe et comment se défendre contre eux.

Attaque de force brute

Les attaques par force brute sont des techniques simples mais très efficaces pour craquer les mots de passe. Ces attaques impliquent des acteurs malveillants utilisant des outils automatisés pour essayer systématiquement chaque combinaison de mots de passe possible grâce à des tentatives de connexion répétées. Bien que de tels outils existent depuis des années, l’avènement de la puissance et du stockage informatiques abordables les a rendues encore plus efficaces aujourd’hui, en particulier lorsque des mots de passe faibles sont utilisés.

Comment ça marche

En ce qui concerne les attaques par force brute, les acteurs malveillants utilisent une gamme de tactiques – des attaques de force brute simples qui testent toutes les combinaisons de mots de passe possible à des approches plus nuancées comme les attaques hybrides et inversées de force brute. Chaque méthode a une stratégie distincte derrière elle, mais les motifs derrière les attaques de force brute sont les mêmes: obtenir un accès non autorisé à des données ou des ressources protégées.

Certains outils automatisés populaires pour effectuer des attaques de force brute comprennent:

  • John l’éventreur: Un cracker de mot de passe multiplateforme avec une prise en charge de 15 systèmes d’exploitation différents et des centaines de hachages et de types de chiffre
  • L0phtcrack: Un outil qui utilise des tables arc-en-ciel, des dictionnaires et des algorithmes multiprocesseurs pour casser les mots de passe Windows
  • Hashcat: Un utilitaire de récupération de fissuration / mot de passe qui prend en charge cinq modes d’attaque uniques pour plus de 300 algorithmes de hachage hautement optimisés

Exemples

En août 2021, l’opérateur mobile américain T-Mobile a été victime d’un violation de données Cela a commencé par une attaque par force brute. Le compromis de sécurité a entraîné l’exposition de plus de 37 millions de dossiers clients contenant des données sensibles comme les numéros de sécurité sociale, les informations de permis de conduire et d’autres données personnellement identifiables.

Mesures de défense

Les utilisateurs doivent choisir des mots de passe solides et complexes et une authentification multi-facteurs (MFA) pour se protéger contre les attaques de force brute. Les administrateurs doivent implémenter les politiques de verrouillage des comptes et auditer en continu leurs environnements Windows pour les mots de passe faibles et violés. Des outils comme Auditeur de mot de passe des spécifications peut automatiser ces processus dans de vastes environnements informatiques.

Attaque de dictionnaire

Dans une attaque de dictionnaire de mot de passe, les cyberattaquants essaient d’accès en utilisant une liste de mots de passe ou de mots communs à partir d’un dictionnaire. Cette liste de mots prédéfinie comprend généralement les mots, les phrases et les combinaisons simples les plus utilisés (c.-à-d. “Admin123”). Les attaques du dictionnaire de mot de passe soulignent l’importance des mots de passe complexes et uniques, car ces types d’attaque sont particulièrement efficaces contre les mots de passe faibles ou facilement supposables.

Comment ça marche

Le processus commence par la compilation d’une liste de mots de passe potentiels à partir de violations de données, de listes de mots de passe communes ou de ressources accessibles au public. À l’aide d’un outil automatisé, les acteurs malveillants effectuent une attaque de dictionnaire, testant systématiquement chaque mot de passe par rapport à un compte ou un système cible. Si une correspondance est trouvée, le pirate peut accéder et effectuer des attaques ou des mouvements ultérieurs.

Exemples

Les acteurs malveillants ont utilisé des dictionnaires de mot de passe pour casser les mots de passe hachés dans plusieurs incidents de sécurité de haut niveau, tels que le Broissance de données Yahoo 2013 et le BRASE DE DONNÉES DE LINKEDIN 2012. Cela leur a permis de voler les informations du compte de milliards d’utilisateurs.

Mesures de défense

Lors de la création ou Réinitialiser les mots de passeles utilisateurs doivent utiliser une combinaison de lettres, de chiffres et de caractères spéciaux, et éviter d’utiliser des mots communs ou des phrases facilement supposables. Les administrateurs peuvent implémenter les exigences de complexité de mot de passe dans leur politiques pour appliquer ces mandats à travers l’organisation.

Attaques de table arc-en-ciel

Une attaque de table arc-en-ciel utilise une table spéciale (c’est-à-dire une “table arc-en-ciel) constituée de chaînes pré-calées ou de mots de passe couramment utilisés et de hachages correspondants pour casser les hachages de mot de passe dans une base de données.

Comment ça marche

Les attaques de table arc-en-ciel fonctionnent en exploitant des chaînes d’opérations de hachage et de réduction pour casser efficacement les mots de passe hachés. Les mots de passe potentiels sont d’abord hachés et stockés aux côtés de leurs homologues en texte en clair dans la table arc-en-ciel, puis traités avec une fonction de réduction qui les mappe à de nouvelles valeurs, résultant en une chaîne de hachages. Ce processus est répété plusieurs fois pour construire la table arc-en-ciel. Lorsque les pirates obtiennent un liste de hachageils peuvent inverser la recherche de chaque valeur de hachage dans la table arc-en-ciel – une fois qu’une correspondance est identifiée, le mot de passe en texte clair correspondant est exposé.

Exemples

Bien que le salage (une méthode d’ajout de caractères aléatoires aux mots de passe avant le hachage) ait réduit l’efficacité des attaques de table arc-en-ciel, de nombreux hachages restent non salés; De plus, les progrès des GPU et du matériel abordable ont éliminé les limitations de stockage autrefois associées aux tables arc-en-ciel. En conséquence, ces attaques continuent d’être une tactique probable dans les cyberattaques de grande envergure actuelles et futures.

Mesures de défense

Comme mentionné précédemment, les hachages salés ont considérablement réduit l’efficacité des tables précomputées; Les organisations doivent donc mettre en œuvre de solides algorithmes de hachage (par exemple, Bcrypt, Scrypt) dans leurs processus de mot de passe. Les administrateurs doivent également mettre à jour et faire tourner régulièrement les mots de passe pour réduire la probabilité que les matchs / tubes du dictionnaire de table arc-en-ciel.

En bref, les mots de passe ne sont pas parfaits, mais des phrases de passe complexes et suffisamment longues restent une première ligne de défense vitale contre les techniques avancées de craquement de mots de passe. Des outils comme Politique des spécifications Fournir une couche de protection supplémentaire en numérisant en continu Active Directory par rapport à une base de données de plus de 4 milliards de mots de passe violés. Contactez-nous pour une démo gratuite aujourd’hui.

Vous avez trouvé cet article intéressant? Cet article est un article contribué de l’un de nos précieux partenaires. Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57