jeudi, avril 18, 2024

ThePressFree

Blog d'actualité

News 

Comment les pirates obtiennent vos mots de passe et comment vous défendre – IT News Africa

ThePressFree Aucun commentaire


Provenant des voyageurs

Malgré les meilleurs efforts du monde pour que tout le monde abandonne les mots de passe et passe à autre chose (par exemple, MFA, authentification sans mot de passe, biométrie, confiance zéro, etc.) pendant des décennies, les mots de passe ont persisté de manière omniprésente. Aujourd’hui, presque tout le monde a plusieurs formes de MFA pour différentes applications et sites Web ET de très nombreux mots de passe.

La personne moyenne possède entre trois et sept mots de passe uniques qu’elle partage entre plus de 170 sites Web et services.

Et, malheureusement, ces mots de passe sont souvent volés ou devinés. C’est pourquoi je recommande le guide de politique de mot de passe suivant :

La plupart des experts en sécurité informatique sont d’accord avec ces recommandations de politique, mais plus de quelques lecteurs pourraient secouer la tête, en particulier aux recommandations d’utiliser des mots de passe/phrases de passe de plus de 20 caractères.

Pourquoi diable quelqu’un aurait-il besoin d’un mot de passe de plus de 20 caractères pour se protéger contre les attaques de piratage de mots de passe ?

En général, les attaques par mot de passe se répartissent en quatre grandes catégories différentes :

  • Vol de mot de passe
  • Deviner le mot de passe
  • Vol et piratage de hachage de mot de passe
  • Réinitialisation ou contournement de mot de passe non autorisé

Chacun sera développé ci-dessous.

Vol de mot de passe

Le vol de mots de passe est de loin le type d’attaque de mot de passe le plus prolifique, généralement par ingénierie sociale, mais il peut également être dû à des logiciels malveillants et à des outils de piratage. La méthode de vol la plus courante est un e-mail de phishing traditionnel dans lequel l’expéditeur se fait passer pour une organisation avec laquelle la victime potentielle entretient une relation, qui contient un message et un lien invitant l’utilisateur à saisir son véritable nom de connexion et son mot de passe.

Voici un exemple courant, le message d’un voleur de mot de passe se faisant passer pour Zoom me disant que mon service Zoom (que j’utilise fréquemment) a été suspendu :

L’adresse e-mail de l’expéditeur et le lien URL sur lequel je devrais cliquer ne proviennent clairement pas de Zoom.com, comme ce serait le cas si l’e-mail était légitime.

Devinette de mot de passe

Les mots de passe peuvent également être devinés. Tout ce dont l’attaquant a besoin est un portail de connexion accessible auquel la victime peut se connecter avec un nom de connexion et un mot de passe, et la possibilité de deviner plusieurs fois sur une longue période.

Ensuite, l’attaquant devine manuellement ou utilise un outil de devinette de mot de passe automatisé. Plus le mot de passe est court et simple, plus il est facile à deviner. Si le portail de connexion concerné n’a pas de « limitation de débit » ou de « verrouillage de compte », un attaquant peut deviner une douzaine à des milliers de fois par minute.

Étant donné que les mots de passe de la plupart des utilisateurs comportent moins de 12 caractères et ne sont pas parfaitement aléatoires, la plupart de ces types de mots de passe peuvent être brisés en quelques jours à quelques mois. L’utilisateur domestique moyen change rarement son mot de passe, et la plupart des mots de passe professionnels ne sont modifiés qu’une fois tous les 90 à 365 jours. Si un attaquant peut obtenir un accès illimité et non surveillé à un portail de connexion, il peut souvent continuer à deviner jusqu’à ce qu’il réussisse.

Une entreprise basée sur Internet, Akamai, a déclaré avoir vu 61 milliards d’attaques de devinettes de mots de passe (par exemple, bourrage de mots de passe) en seulement 18 mois.

Vol et piratage de hachage de mot de passe

Une autre attaque de mot de passe populaire est le hachage de mot de passe. Dans la plupart des systèmes d’exploitation modernes, tout mot de passe saisi est transformé par un algorithme de hachage cryptographique en un hachage représentatif du mot de passe (c’est-à-dire, le hachage du mot de passe).

Voici quelques exemples de hachages de mot de passe du mot « grenouille » utilisant une poignée d’algorithmes de hachage pris en charge par les systèmes d’exploitation populaires :

Le hachage du mot de passe d’un utilisateur est stocké dans des bases de données d’authentification de mot de passe que le système d’exploitation utilise pour authentifier l’utilisateur. Si un attaquant peut récupérer le hachage du mot de passe d’un utilisateur, cependant, il le fait, il peut deviner (c’est-à-dire, déchiffrer) le hachage du mot de passe en le comparant à un ensemble de mots de passe possibles qui ont déjà été pré-calculés avec leur hachage. C’est ce qu’on appelle le hachage de mot de passe.

Le craquage du hachage du mot de passe est effectué de manière externe au système de connexion de l’utilisateur. Le pirate n’a pas besoin d’être sur le réseau de la victime, et la limitation du débit et le verrouillage du compte ne peuvent pas être mis en œuvre pour ralentir les devinettes. Les attaquants disposant du matériel de craquage de hachage de mot de passe approprié (appelé plates-formes de craquage de hachage de mot de passe) peuvent deviner jusqu’à plusieurs dizaines de billions de mots de passe par seconde. Avec ce genre de vitesse, très peu de mots de passe de moins de 20 caractères pourront résister à l’attaque.

Il est bien connu qu’au sein de la communauté de piratage de mots de passe, les mots de passe « normaux » créés par l’homme jusqu’à 18 caractères sont régulièrement brisés dans des scénarios d’attaque réels en quelques jours ou semaines. Cependant, si le mot de passe est vraiment aléatoire, quelque chose comme ce qu’un programme de gestion de mots de passe pourrait créer, alors le mot de passe parfaitement aléatoire ne doit contenir que 11 à 12 caractères pour résister à toutes les attaques connues de devinettes et de craquage de mots de passe.

Réinitialisation ou contournement de mot de passe non autorisé

Une autre attaque de mot de passe courante consiste pour un pirate à utiliser une méthode qui réinitialise le mot de passe de l’utilisateur ou le contourne simplement complètement. Les grands systèmes d’authentification les plus populaires permettent aux utilisateurs de réinitialiser eux-mêmes leurs propres mots de passe.

Ceux-ci sont nécessaires car l’un des appels d’assistance les plus populaires est un utilisateur qui oublie ou doit réinitialiser son mot de passe. Les appels de mot de passe au support technique sont si courants que s’ils étaient tous gérés par un humain, cela nécessiterait beaucoup plus de ressources et d’argent que l’organisation concernée n’en a à dépenser. Ainsi, de nombreuses/la plupart des organisations créent ou activent un portail d’auto-assistance que l’utilisateur peut utiliser pour réinitialiser son mot de passe. Malheureusement, les pirates connaissent ces deux éléments et utiliseront diverses astuces pour réinitialiser le mot de passe de l’utilisateur sans l’autorisation de l’utilisateur.

La façon dont le pirate est capable de faire cela varie selon le système d’authentification et le portail de réinitialisation d’auto-assistance, mais sachez simplement que des millions de mots de passe sont réinitialisés chaque année par des attaquants. Le pirate prend alors le contrôle du compte (ce qu’on appelle la prise de contrôle du compte), modifie à nouveau le mot de passe de l’utilisateur et commence à utiliser le compte de manière non autorisée. Plusieurs fois, l’utilisateur est incapable de récupérer le compte et il est perdu pour toujours par le pirate.

En résumé, les mots de passe sont compromis par plusieurs dizaines de millions chaque année, en utilisant le vol de mots de passe, la devinette, le piratage et la réinitialisation non autorisée de mots de passe.

Défenses contre les attaques par mot de passe

Les défenses contre les attaques par mot de passe peuvent être résumées comme suit, par ordre d’importance :

  • Utilisez une MFA résistante au phishing dans la mesure du possible
  • Atténuez l’ingénierie sociale pour empêcher le vol de mot de passe
  • Utilisez un mot de passe différent et indevinable pour chaque site et service
  • Utilisez un gestionnaire de mots de passe partout où vous pouvez autoriser la création et l’utilisation de mots de passe parfaitement aléatoires, sans que l’utilisateur ait à les créer ou à les retaper
  • Lorsqu’un gestionnaire de mots de passe ne peut pas être autorisé, les utilisateurs doivent créer des mots de passe ou des phrases secrètes longs et/ou complexes, différents pour chaque site et service.
  • Tous les mots de passe doivent être changés, au moins une fois par an

Il existe des dizaines d’autres bonnes mesures d’atténuation des attaques par mot de passe qui devraient être mises en œuvre par les utilisateurs et les administrateurs.

Si vous pouvez utiliser l’authentification multifacteur résistante au phishing (MFA) au lieu d’un mot de passe, essayez de le faire. Un pirate ne peut pas voler, deviner ou contourner votre mot de passe si vous n’en avez pas. Il est essentiel d’utiliser autant que possible une MFA résistante au phishing. La plupart des MFA sont facilement contournés par de simples attaques de phishing, ce qui annule la plupart des raisons de passer des mots de passe à la MFA.

Il n’y a pas d’autre défense unique qui fait plus pour empêcher le vol de mot de passe que pour atténuer l’ingénierie sociale et le phishing.

La deuxième meilleure chose qu’un utilisateur puisse faire est de s’assurer qu’il utilise des mots de passe différents pour chaque site et service. Cela empêche un mot de passe compromis d’autoriser plus facilement des compromis supplémentaires sur d’autres sites et services utilisés par l’utilisateur.

Un mot de passe parfaitement aléatoire de 11 à 12 caractères, comme ceux créés et utilisés par les programmes de gestion de mots de passe, est considéré comme indevinable et indéchiffrable par toute attaque de devinette de mot de passe connue (c’est-à-dire que des mots de passe forts peuvent toujours être volés). Les humains ont du mal à créer et à utiliser des mots de passe parfaitement aléatoires, en particulier lorsqu’il en faut un différent pour chaque site et service. Pour cette raison, chaque utilisateur doit utiliser un programme de gestion de mots de passe lorsque cela est possible. Dans un scénario parfait, le seul mot de passe que l’utilisateur devrait créer, mémoriser et utiliser serait les mots de passe/phrases de passe nécessaires pour se connecter à son ou ses appareils et à son programme de gestion de mots de passe.

Le programme de gestionnaire de mots de passe gérera ensuite toutes les connexions par mot de passe.

Par Roger Grimes, évangéliste de la défense axée sur les données chez KnowBe4.



Laisser un commentaire