Les mots de passe ont été largement adoptés comme le moyen le plus efficace de protéger les données précieuses contre l'accès non autorisé. Ils sont simples et faciles à utiliser, mais suffisamment fiables pour dissuader la plupart des tentatives de piratage.
Cependant, avec l'avancée de la technologie au fil des ans, le système de sécurité traditionnel basé sur les mots de passe semble lentement prendre du retard. Les mots de passe faibles ou faciles à deviner peuvent facilement être craqués, et même les mots de passe forts ne semblent pas être totalement imperméables aux attaques de pirates informatiques.
Alors, que pouvez-vous faire pour empêcher vos mots de passe d'être craqués ? Sur cette page, nous aborderons le sujet de plus en plus important du craquage de mots de passe en cybersécurité et partagerons avec vous des conseils précieux de prévention du craquage de mots de passe. Lisez la suite pour apprendre comment faire des mots de passe craqués une chose du passé.
Mots de passe craqués : Comment les pirates informatiques y accèdent-ils ?
En ce qui concerne le craquage de mots de passe, la plupart des attaquants ont le même mantra : plus c'est simple, mieux c'est. Ils chercheront toujours à utiliser la manière la plus simple, la plus rentable et la plus furtive pour craquer votre mot de passe.
De manière inquiétante, les attaquants peuvent utiliser l'un des nombreux outils disponibles pour accéder à vos comptes. Bien que les outils de craquage de mots de passe soient principalement destinés à aider les utilisateurs à récupérer des mots de passe perdus et à tester la sécurité de leurs mots de passe, certaines personnes, malheureusement, décident d'utiliser ces outils à des fins malveillantes. Voici un bref aperçu de certains des outils de craquage de mots de passe les plus courants :
- Hashcat − Largement considéré comme l'un des outils de craquage de mots de passe les plus rapides, Hashcat prend également en charge plusieurs méthodologies de craquage de mots de passe. Il ne stocke aucun mot de passe craqué sur ses serveurs et est entièrement gratuit.
- THC Hydra − Cet outil prend en charge plus de 50 protocoles. Son système mobile prend en charge toutes les principales plates-formes logicielles, ce qui en fait un excellent outil si vous avez besoin de logiciels pour craquer un mot de passe iOS ou Android.
- Medusa − Medusa est un logiciel de craquage de mots de passe très pratique qui prend en charge une longue liste de protocoles. Il prend en charge plusieurs systèmes d'exploitation informatiques, à l'exception de Windows.
- John the Ripper − John the Ripper est un outil de craquage de mots de passe multiplateforme, open-source et totalement gratuit. Il prend en charge des centaines de types de hachage et de chiffrement et est l'un des outils de craquage de mots de passe les plus flexibles.
- CrackStation − Contrairement aux logiciels mentionnés ci-dessus, CrackStation est un cracker basé sur le Web et n'a pas de programme autonome. Il prend en charge de nombreux protocoles, mais seuls les hachages non salés sans chaînes aléatoires attachées peuvent être utilisés.
Types de craquage de mots de passe
À cet égard, vous pouvez dire que les attaquants ont l'avantage, car il existe tout simplement trop de types de piratage de mots de passe. Pour cette raison, la plupart des gens ne sont pas conscients du nombre de directions différentes que peut prendre la menace.
La majorité des attaques de craquage de mots de passe peuvent prendre trois formes distinctes. Ce sont les attaques de devinette de mot de passe, les attaques d'ingénierie sociale et les attaques basées sur le hachage. Discutons de chacune de ces attaques plus en détail.
1. Attaques de devinette de mot de passe
Alors que la plupart d'entre nous ont tendance à imaginer que les cyber-attaques viennent de hackers super sophistiqués utilisant un équipement coûteux, la réalité est souvent moins excitante. En fait, la plupart des cas de mots de passe craqués découlent du simple fait que les attaquants devinent le mot de passe jusqu'à ce qu'ils le trouvent.
- Devinette de mot de passe aléatoire − La forme la plus basique de devinette de mot de passe, c'est aussi la moins efficace, à moins que la victime n'utilise un mot de passe très courant ou que l'attaquant en sache beaucoup sur la victime.
- Attaques par dictionnaire − Une forme plus avancée d'attaque de devinette de mot de passe, dans laquelle les attaquants utilisent un dictionnaire automatisé de mots. La complexité des attaques par dictionnaire dépend du fait que les attaquants incluent des chiffres et des caractères et du fait qu'ils ciblent des combinaisons de mots spécifiques.
- Attaques par force brute − Les attaques de devinette de mot de passe par force brute impliquent une approche systématique de chaque combinaison possible de lettres, de chiffres et de mots. Le principal avantage de cette attaque est que le pirate est sûr de trouver le mot de passe correct à un moment donné. Cependant, le revers de la médaille est que cela peut leur prendre beaucoup de temps pour générer toutes les permutations possibles.
2. Attaques d'ingénierie sociale
L'ingénierie sociale est un terme générique désignant diverses activités malveillantes qui sont menées en exploitant les interactions humaines par le biais de manipulations psychologiques. À travers les attaques d'ingénierie sociale, les pirates informatiques visent à tromper leurs victimes insouciantes pour leur soutirer des informations sensibles précieuses.
Les attaques d'ingénierie sociale sont souvent soigneusement réfléchies, car les attaquants enquêtent généralement sur leurs victimes pour obtenir des informations qui les aideront à mener à bien l'attaque. Voici les formes les plus courantes d'attaques d'ingénierie sociale :
- Phishing − Sans doute la technique la plus connue et la plus populaire, le phishing consiste à tromper la cible pour qu'elle clique sur un lien ou ouvre une pièce jointe contenant des logiciels malveillants. Il existe de nombreuses formes d'attaques de phishing adaptées à des situations spécifiques, notamment le phishing ciblé, le harponnage, le smishing et le vishing.
- Attaques de réinitialisation de mot de passe − Une autre forme répandue d'attaques d'ingénierie sociale consiste à initier des changements forcés de mot de passe par une personne autre que l'utilisateur final. Les attaquants manipulent un lien de réinitialisation de mot de passe qui pointe vers un domaine qu'ils contrôlent.
- Épier par-dessus l'épaule − C'est une forme très rudimentaire et antiquée de craquage de mots de passe, mais une qui, malheureusement, fonctionne encore sur certaines victimes. La base de l'attaque est simple. L'attaquant observe physiquement la victime entrer un mot de passe, puis utilise les données d'identification obtenues pour mener à bien l'attaque.
3. Attaques basées sur le hachage
Enfin, les attaques basées sur le hachage peuvent être particulièrement dangereuses. Cela est dû au fait que les pirates peuvent attaquer la base de données utilisateur/mot de passe même hors ligne. Les deux types d'attaques basées sur le hachage les plus courants sont :
- Attaque par table arc-en-ciel − Les pirates obtiennent d'abord l'accès à des hachages divulgués et utilisent la table arc-en-ciel pour décrypter les hachages de mots de passe. Tant que les hachages n'ont pas un codage unique supplémentaire pour chaque mot de passe, les pirates peuvent alors simplement traduire les mots de passe chiffrés en texte clair.
- Attaque par passage de hachage − Abrégées en PtH, les attaques de passage de hachage exploitent les faiblesses du protocole d'authentification. Ces types d'attaques sont souvent utilisés pour craquer les mots de passe Windows, bien qu'ils puissent également se produire sur d'autres plateformes.
Comment prévenir le craquage de mots de passe ?
Le craquage de mots de passe est sans aucun doute une pratique inquiétante et quelque chose à quoi nous pouvons tous être victimes. Cela dit, cela ne veut pas dire que vous ne pouvez rien faire pour minimiser les chances que vos mots de passe soient craqués. Voici comment prévenir le craquage de mots de passe avec quelques méthodes simples :
Astuce n°1. Créez des mots de passe solides
La première étape pour empêcher votre mot de passe d'être craqué est de définir un mot de passe solide dès le départ. Comme votre mot de passe est la première ligne de défense, il doit être aussi robuste que possible.
Il y a de nombreux aspects à retenir lorsque vous essayez de créer le mot de passe le plus fort possible. Par exemple, il doit être d'une longueur suffisante et combiner à la fois des lettres minuscules et majuscules, ainsi que des chiffres. De plus, les indices doivent être uniques et difficiles à deviner.
Si vous vous demandez, "à quel point mon mot de passe est-il difficile à craquer ?" et que vous voulez vous assurer qu'il est suffisamment solide pour dissuader toute attaque, nous vous recommandons de lire notre page dédiée aux directives sur les mots de passe du NIST.
Astuce n°2. Utilisez un gestionnaire de mots de passe fiable
En plus d'avoir des mots de passe solides, vous devriez également utiliser un gestionnaire de mots de passe fiable. Pour commencer, un gestionnaire de mots de passe sert un but très pratique, car il vous libère de la nécessité de mémoriser vos mots de passe.
Plus important encore dans le contexte de cette page, il apporte également des avantages supplémentaires en matière de sécurité. Vous pouvez générer des mots de passe aléatoires solides, utiliser une fonction de remplissage automatique et partager vos mots de passe de manière sécurisée chaque fois que vous en avez besoin.
Astuce n°3. Utilisez l'authentification à deux facteurs et la connexion sans mot de passe lorsque c'est possible
L'authentification à deux facteurs (2FA) gagne de plus en plus de traction ces dernières années. Et, pour une bonne raison. 2FA fournit une couche de protection supplémentaire et garde vos comptes en sécurité même si votre mot de passe est compromis. Si un attaquant obtient vos identifiants de connexion, il sera quand même bloqué sans obtenir d'approbation au deuxième facteur.
Étant donné cela, il est recommandé d'activer l'authentification à deux facteurs partout où c'est possible. Cela ne prend pas beaucoup de temps et d'efforts à faire, mais cela peut vous éviter beaucoup de maux de tête au cas où un attaquant vous ciblerait.
De plus, si vous voulez réduire encore davantage votre surface d'attaque, envisagez de passer entièrement sans mot de passe. Bien que cette étape nécessite une approche plus prudente, passer entièrement sans mot de passe élimine les risques liés à la sécurité basée sur les mots de passe.
L'outil ultime de prévention du craquage de mots de passe
En gardant tout ce qui précède à l'esprit, pour assurer une protection intransigeante contre le craquage de mots de passe, vous devriez utiliser plusieurs outils. Si vous souhaitez gérer simultanément vos mots de passe à partir de services web hérités et bénéficier des avantages de l'authentification moderne sans mot de passe, vous auriez besoin d'au moins deux appareils : un gestionnaire de mots de passe et un jeton FIDO pour les connexions sans mot de passe. Mais soyons honnêtes, ce n'est pas très pratique.
De ce point de vue, la manière la plus efficace de prévenir le craquage de mots de passe est d'utiliser une clé matérielle unique en son genre qui combine fonctionnalité et sécurité. Notre Hideez Key 4 est un appareil de poche qui possède toutes les fonctionnalités d'un gestionnaire de mots de passe de haute qualité combiné avec la prise en charge du standard FIDO2 "sans mot de passe".
De plus, ce petit appareil peut également servir de verrou de proximité intelligent pour votre ordinateur Windows, vous permettant de verrouiller ou de déverrouiller votre appareil lorsque vous vous approchez ou que vous le quittez. Enfin, vous pouvez implémenter ceci comme votre principal outil de sécurité à la fois à la maison et dans un environnement professionnel. Contactez-nous pour en savoir plus ou profitez de notre offre d'essai gratuite de 30 jours !