icon
skip to content

Le problème des mots de passe piratés. Comment empêcher le crack de mot de passe ?

Cracked Passwords

 

Les mots de passe ont été largement adoptés comme le moyen le plus efficace de protéger des données précieuses contre tout accès non autoriséIls sont simples et faciles à utiliser, mais suffisamment fiables pour dissuader la plupart des tentatives de piratage

Cependant, à mesure que la technologie a progressé au fil des ans, le système de sécurité traditionnel consistant à mettre en œuvre des mots de passe semble lentement prendre du retardLes mots de passe faibles ou faciles à deviner peuvent facilement être déchiffrés, et même les mots de passe forts ne semblent pas totalement insensibles aux attaques de pirates.

Alors, que pouvez-vous faire pour empêcher le piratage de vos mots de passe ? Sur cette page, nous aborderons le sujet de plus en plus important du craquage de mot de passe dans la cybersécurité et partagerons avec vous de précieux conseils de prévention du craquage de mot de passe.Lisez la suite pour apprendre à faire des mots de passe piratés une chose du passé

Contenu

Mot de passe piraté : comment les pirates les obtiennent-ils ?

Types de craquage de mots de passe

Attaques par devinette de mot de passe

Attaques d'ingénierie sociale

Attaques basées sur le hachage

Comment empêcher le piratage de mot de passe ?

L'outil ultime pour la prévention du piratage des mots de passe

Mot de passe piraté : comment les pirates les obtiennent-ils ?

En ce qui concerne le piratage des mots de passe, la plupart des attaquants ont le même mantra : plus c'est simple, mieux c'estIls chercheront toujours à utiliser le moyen le plus simple, le plus rentable et le plus furtif pour déchiffrer votre mot de passe.

Assez inquiétant, les attaquants peuvent utiliser l'un des nombreux outils disponibles pour accéder à vos comptesBien que les outils de craquage de mots de passe soient principalement destinés à aider les utilisateurs à récupérer les mots de passe perdus et à tester la sécurité de leurs mots de passe, certaines personnes, malheureusement, décident d'utiliser ces outils à des fins néfastes.Voici un bref aperçu de certains des types d'outils logiciels de piratage de mots de passe les plus courants :

  1. Hashcat – Largement considéré comme l'un des outils de piratage de mots de passe les plus rapides, Hashcat prend également en charge une poignée de méthodologies de piratage de mots de passe.Il ne stocke aucun mot de passe fissuré sur ses serveurs et est disponible entièrement gratuitement
  2. THC Hydra − Cet outil prend en charge plus de 50 protocolesSon système mobile prend en charge toutes les principales plates-formes logicielles, ce qui en fait un excellent outil si vous avez besoin d'un logiciel pour craquer un mot de passe iOS ou Android.
  3. Medusa  Medusa est un logiciel de craquage de mot de passe très pratique qui prend en charge une longue liste de protocolesIl prend en charge plusieurs systèmes d'exploitation informatiques, à l'exception de Windows
  4. John the Ripper − John the Ripper est un outil de craquage de mot de passe multiplateforme, open source et entièrement gratuitIl prend en charge des centaines de types de hachage et de chiffrement et est l'un des outils de craquage de mot de passe les plus flexibles
  5. CrackStation  Contrairement au logiciel mentionné ci-dessus, CrackStation est un cracker basé sur le Web et n'a pas de système autonome programmeIl prend en charge de nombreux protocoles, mais seuls les hachages non salés sans aucune chaîne aléatoire attachée peuvent être utilisés

Types de craquage de mots de passe

À cet égard, vous pouvez dire que les attaquants ont l'avantage, car il existe tout simplement trop de types de piratage de mots de passePour cette raison, la plupart des gens ne savent pas de combien de directions la menace peut provenir

La majorité des attaques de piratage de mots de passe peuvent se présenter sous trois formes distinctesIl s'agit d'attaques de devinettes de mots de passe, d'attaques d'ingénierie sociale et d'attaques basées sur le hachage.Discutons de chacune de ces attaques plus en détail

1Attaques par devinette de mot de passe

Alors que la plupart d'entre nous ont tendance à imaginer que les cyberattaques sont le fait de pirates super sophistiqués utilisant des équipements coûteux, la réalité n'est souvent pas si excitanteEn fait, la plupart des cas de mots de passe piratés proviennent d'attaquants qui devinent simplement le mot de passe jusqu'à ce qu'ils le trouvent correctement.Il existe plusieurs types d'attaques par devinette de mot de passe :

  • Random Password Guessing − La forme la plus simple de deviner un mot de passe, c'est aussi la méthode la moins efficace, sauf si la victime utilise un mot de passe très commun ou l'agresseur en sait long sur la victime
  • Dictionary Attacks – Une forme plus avancée d'attaque par devinette de mot de passe, dans laquelle les attaquants utilisent un dictionnaire de mots automatiséLa complexité des attaques par dictionnaire dépend du fait que les attaquants incluent des chiffres et des caractères et s'ils ciblent des combinaisons de mots spécifiques
  • Attaques par force brute  Les attaques par force brute pour deviner un mot de passe impliquent une approche systématique de toutes les combinaisons possibles de lettres, de chiffres et de motsLe principal avantage de cette attaque est que le pirate est obligé de frapper le bon mot de passe à un moment donnéCependant, le revers de la médaille est que cela peut leur prendre beaucoup de temps pour générer toutes les permutations possibles.

2Attaques d'ingénierie sociale

L'ingénierie sociale est un terme général faisant référence à diverses activités malveillantes qui sont menées en exploitant les interactions humaines par la manipulation psychologiquePar le biais d'attaques d'ingénierie sociale, les pirates cherchent à tromper leurs victimes sans méfiance pour qu'elles leur donnent des informations sensibles précieuses

Les attaques d'ingénierie sociale sont souvent mûrement réfléchies, car les attaquants enquêtent généralement sur leurs victimes pour obtenir des informations qui les aideront à mener à bien l'attaqueVoici les formes les plus courantes d'attaques d'ingénierie sociale :

  • Phishing – Sans doute la technique la plus connue et la plus populaire, le phishing consiste à inciter la cible à cliquer sur un lien ou à ouvrir une pièce jointe contenant un logiciel malveillantIl existe de nombreuses formes d'attaques de phishing adaptées à des situations spécifiques, notamment le spear phishing, le whaling, le smishing et le vishing
  • Attaques de réinitialisation de mot de passe − Une autre forme répandue d'attaques d'ingénierie sociale comprend l'initiation de changements de mot de passe forcés par quelqu'un d'autre que l'utilisateur finalLes attaquants manipulent un lien de réinitialisation de mot de passe qui pointe vers un domaine qu'ils contrôlent
  • Shoulder Surfing  Il s'agit d'une forme très grossière et désuète de craquage de mots de passe, mais qui, malheureusement, fonctionne toujours sur certaines victimesLa base de l'attaque est simpleL'attaquant observe physiquement la victime en train de saisir un mot de passe, puis utilise les données d'identification obtenues pour mener à bien l'attaque

3Attaques basées sur le hachage

Enfin, les attaques par hachage peuvent être particulièrement dangereusesEn effet, les pirates peuvent attaquer la base de données des utilisateurs/mots de passe même hors ligneLes deux types d'attaques par hachage les plus courants sont :

  • Rainbow Table Attack − Les pirates accèdent d'abord aux hachages divulgués et utilisent la table arc-en-ciel pour déchiffrer les hachages de mots de passeTant que les hachages n'ont pas d'encodage unique supplémentaire pour chaque mot de passe, les pirates peuvent alors simplement traduire les mots de passe chiffrés en texte clair.
  • Attaque Pass-the-Hash  Abrégé en PtH, les attaques Pass-the-Hash exploitent les faiblesses du protocole d'authentificationCes types d'attaques sont souvent utilisés pour les cracks de mots de passe Windows, bien qu'ils puissent également se produire sur d'autres plates-formes.

Comment empêcher le piratage de mot de passe ?

Le craquage de mots de passe est sans aucun doute une pratique inquiétante et dont nous pouvons tous être victimesCela dit, cela ne veut pas dire que vous ne pouvez rien faire pour minimiser les risques que vos mots de passe soient piratés.Voici comment empêcher le piratage des mots de passe à l'aide de quelques méthodes simples :

Astuce #1Créer des mots de passe forts

La première étape pour empêcher le piratage de votre mot de passe consiste à définir un mot de passe fort en premier lieuComme votre mot de passe est la première ligne de défense, il doit être aussi robuste que possible

Il y a de nombreux aspects à retenir lorsque vous essayez de créer le mot de passe le plus fort possiblePar exemple, il doit être suffisamment long et combiner à la fois des lettres minuscules et majuscules, ainsi que des chiffresDe plus, les indices doivent être uniques et difficiles à deviner

Si vous vous demandez, "à quel point mon mot de passe est-il difficile à déchiffrer ?" et que vous voulez vous assurer qu'il est suffisamment fort pour dissuader toute attaque, nous vous recommandons de lire notre page dédiée sur les directives de mot de passe NIST

Astuce #2Utilisez un gestionnaire de mots de passe fiable

En plus d'avoir des mots de passe forts, vous devez également utiliser un gestionnaire de mots de passe fiablePour commencer, un gestionnaire de mots de passe a un but très pratique, car il vous évite d'avoir à mémoriser vos mots de passe

Plus important encore dans le contexte de cette page, cela apporte également des avantages supplémentaires en matière de sécuritéVous pouvez générer des mots de passe aléatoires forts, utiliser une fonction de remplissage automatique et partager des mots de passe en toute sécurité chaque fois que vous en avez besoin.

Astuce #3Utilisez 2FA et la connexion sans mot de passe lorsque cela est possible

L'authentification à deux facteurs (2FA) gagne en popularité ces dernières annéesEt, pour une bonne raison2FA fournit une couche de protection supplémentaire et protège vos comptes même si votre mot de passe est compromisSi un attaquant met la main sur vos identifiants de connexion, il sera toujours exclu sans obtenir l'approbation au deuxième facteur

Compte tenu de cela, il est recommandé d'activer l'authentification à deux facteurs dans la mesure du possibleCela ne prend pas beaucoup de temps et d'efforts, mais cela peut vous éviter bien des maux de tête au cas où un attaquant vous ciblerait.

De plus, si vous souhaitez réduire encore plus votre surface d'attaque, envisagez de passer entièrement sans mot de passeBien que cette étape nécessite une approche plus prudente, l'absence totale de mot de passe élimine les risques associés à la sécurité par mot de passe.

L'outil ultime pour la prévention du piratage des mots de passe

Gardant tout ce qui précède à l'esprit, pour assurer une protection sans compromis contre le piratage de mot de passe, vous devrez utiliser plusieurs outilsSi vous souhaitez gérer simultanément vos mots de passe à partir de services Web hérités et utiliser les avantages de l'authentification moderne sans mot de passe, vous aurez besoin d'au moins deux appareils : un gestionnaire de mots de passe et un jeton FIDO pour les connexions sans mot de passe.Mais soyons honnêtes, ce n'est pas très pratique

De ce point de vue, le moyen le plus efficace d'empêcher le piratage de mot de passe est d'utiliser une clé matérielle unique en son genre qui combine fonctionnalité et sécuritéNotre Hideez Key 4 est un appareil de poche doté de toutes les fonctionnalités d'un gestionnaire de mots de passe de qualité supérieure combiné à la prise en charge standard FIDO2 "sans mot de passe".

De plus, ce petit appareil peut également servir de verrou de proximité intelligent pour votre ordinateur Windows, vous permettant de verrouiller ou de déverrouiller votre appareil lorsque vous vous en approchez ou que vous le quittezEnfin, vous pouvez l'implémenter en tant qu'outil de sécurité principal à la fois à la maison et dans un environnement professionnel.Contactez-nous pour en savoir plus ou profiter de notre Offre d'essai gratuit de 30 jours !

Related Posts