Des politiques de mots de passe faibles rendent les organisations vulnérables aux attaques. Mais les exigences standard en matière de complexité des mots de passe sont-elles suffisantes pour les sécuriser ? 83 % des mots de passe compromis satisferaient aux exigences de complexité et de longueur des mots de passe des normes de conformité. En effet, les acteurs malveillants ont déjà accès à des milliards d’identifiants volés qui peuvent être utilisés pour compromettre des comptes supplémentaires en réutilisant ces mêmes identifiants. Pour renforcer la sécurité des mots de passe, les organisations doivent aller au-delà des exigences de complexité et bloquer l’utilisation d’identifiants compromis.
Besoin d’informations d’identification volées ? Il y a un marché pour ça
Chaque fois qu’une organisation est victime d’une violation ou qu’un sous-ensemble d’informations d’identification de clients est volé, il est fort probable que tous ces mots de passe finissent en vente sur le dark web. Se souvenir du Piratage de Dropbox et LinkedIn cela a abouti à 71 millions et 117 millions de mots de passe volés ? Il existe un marché clandestin qui vend ces informations d’identification aux pirates informatiques, qui peuvent ensuite les utiliser dans des attaques de type credential stuffing.
Comment fonctionne le credential stuffing ?
Le credential stuffing est une méthode d’attaque populaire en raison de l’effort minimal requis pour maximiser les gains financiers ; à tel point qu’il y a eu six fois plus les informations d’identification ont été volées et vendues au cours de la seule année dernière. De plus en plus d’opportunités de credential stuffing se présentent à mesure que le nombre d’identifiants volés continue d’augmenter à chaque nouvelle violation. On estime que 111 millions de cyberattaques se produisent chaque jour. Pour chaque million de combinaisons d’e-mails et de mots de passe, les attaquants peuvent potentiellement compromettre entre 10 000 et 30 000 comptes.
Les attaquants utilisent des outils automatisés pour tester les informations d’identification volées sur de nombreux sites. Pour augmenter leurs chances de succès tout en réduisant le risque de détection, les attaquants utilisent des outils facilement disponibles qui les aident à faire correspondre les mots de passe avec des sites Web spécifiques. Cela peut être particulièrement simple si le mot de passe contient déjà le nom du site Web ou de l’application.
Les robots sophistiqués sont un outil populaire dans ce cas, permettant aux attaquants d’exécuter simultanément un certain nombre de tentatives de connexion, qui semblent toutes provenir d’adresses IP uniques. En plus de cet anonymat, les robots sont capables de contourner des mesures de sécurité simples, telles que le bannissement des adresses IP en raison d’une série de tentatives de connexion infructueuses.
Une fois la tentative de connexion fructueuse, l’attaquant accède au compte compromis, lui accordant l’accès nécessaire pour vider les fonds du compte, voler des informations sensibles, envoyer des messages de phishing trompeurs ou des appels de spam, ou trafiquer les données volées sur le dark web. Ce type d’attaque a gagné en popularité ces dernières années en raison du grand nombre d’utilisateurs réutilisant leurs mots de passe sur plusieurs comptes. Il a été constaté que 44 millions d’utilisateurs de Microsoft réutilisaient leurs mots de passe au cours d’une seule analyse sur une période de trois mois.
Alors, comment les organisations peuvent-elles se défendre contre une menace croissante ? Tout comme la réutilisation des mots de passe sur plusieurs sites Web augmente la vulnérabilité des comptes d’utilisateurs et complique les efforts visant à empêcher les accès non autorisés, la détection rapide des mots de passe compromis et la notification des comptes concernés sont essentielles pour réduire les menaces de credential stuffing contre les organisations et leurs utilisateurs.
Découvrez si vos informations d’identification sont compromises
Au moment de la rédaction de cet article, il y en a plus 15 milliards d’identifiants volés sur le dark web. Les utilisateurs de PayPal ont rejoint cette liste plus tôt cette année lorsque la plateforme a subi une importante attaque de type credential stuffing qui a touché environ 35 000 comptes. Ces violations ont exposé des informations sensibles, notamment les numéros de sécurité sociale et d’identification fiscale, les dates de naissance, les noms et adresses. Comme c’est souvent le cas dans de telles attaques, bon nombre de ces comptes compromis ont réutilisé les mots de passe de violations de données précédentes.
Pour que leurs informations d’identification ne figurent pas sur cette liste sans cesse croissante, les organisations doivent faire davantage pour protéger leurs comptes. Pour les entreprises utilisant Active Directory, les administrateurs peuvent identifier les mots de passe violés et bloquer l’utilisation de plus de 4 milliards de mots de passe compromis connus sur leur réseau grâce à des outils payants tels que Specops Password Policy. Pour une option gratuite, Specops Password Auditor peut rapidement identifier et résoudre les vulnérabilités liées aux mots de passe au sein de votre Active Directory.
Specops Password Auditor croise vos mots de passe avec une base de données de 950 millions de mots de passe compromis. Vous pouvez également identifier diverses autres vulnérabilités liées aux mots de passe, telles que des mots de passe vides, des mots de passe identiques, des comptes d’administrateur obsolètes, des comptes d’utilisateurs obsolètes, etc.
Specops Password Auditor est un excellent outil gratuit pour effectuer un bilan de santé des mots de passe de vos utilisateurs finaux, mais pour renforcer davantage la sécurité des mots de passe de votre organisation, utilisez Specops Password Policy. Vous serez en mesure de mettre en œuvre des politiques de mot de passe strictes, y compris des exigences en matière de longueur et de complexité des mots de passe, ainsi que d’éviter les modèles de caractères courants et les répétitions de caractères consécutifs dans les mots de passe. La politique de mot de passe Specops et la fonction de protection des mots de passe en cas de violation analysent votre Active Directory par rapport à une base de données de plus de 4 milliards de mots de passe compromis.
Avec l’analyse continue activée, vous recevrez des alertes immédiates par SMS ou par e-mail si et quand vos mots de passe sont compromis, ainsi que des invites urgentes pour les modifier. Le service est régulièrement mis à jour pour fournir une protection continue contre les attaques de mots de passe du monde réel.
Effectuez dès aujourd’hui un bilan de santé gratuit de la vulnérabilité des mots de passe
Découvrez si vos utilisateurs Active Directory utilisent des informations d’identification compromises et prenez des mesures proactives pour arrêter les futures attaques de type credential stuffing.
Obtenez un rapport gratuit en lecture seule sur l’état de vulnérabilité des mots de passe de votre organisation et inscrivez-vous pour des essais gratuits de Specops Password Policy pour éviter le coût élevé des informations d’identification compromises.