Quand vous entendez "violation de la sécurité", qu'est-ce qui vous vient à l'esprit? Un hacker malveillant assis devant des écrans avec le texte numérique de Matrix en streaming? Ou un sous-sol adolescent qui n'a pas vu la lumière du jour depuis trois semaines? Que diriez-vous d'un puissant superordinateur qui tente de pirater le monde entier?
La réalité est que toutes ces situations peuvent se résumer à une facette simple: le mot de passe humble - mais vital. Si quelqu'un a votre mot de passe, c'est essentiellement un jeu terminé. Si votre mot de passe est trop court, ou facilement deviné, c'est un jeu terminé. Et quand il y a une brèche de sécurité, vous pouvez deviner ce que les gens infâmes recherchent sur le réseau sombre. C'est vrai. Votre mot de passe.
Il y a sept tactiques communes utilisées pour pirater les mots de passe. Nous allons jeter un coup d'oeil.
1. Dictionnaire
Tout d'abord dans le guide tactique de piratage de mot de passe commun est l'attaque du dictionnaire. Pourquoi est-ce appelé une attaque de dictionnaire? Parce qu'il essaie automatiquement chaque mot d'un "dictionnaire" défini par rapport au mot de passe. Le dictionnaire n'est pas strictement celui que vous avez utilisé à l'école.
Non. Ce dictionnaire est en fait un petit fichier qui contiendra également les combinaisons de mots de passe les plus couramment utilisées. Cela inclut 123456, qwerty, mot de passe, mynoob, princesse, baseball, et classique de tous les temps, hunter2.
Avantages: rapide, généralement débloquer certains comptes terriblement protégés.
Inconvénients: même les mots de passe légèrement plus forts resteront sécurisés.
Protégez-vous en: utilisez un mot de passe à usage unique fort pour chaque compte, en conjonction avec une application de gestion de mot de passe. Le gestionnaire de mots de passe vous permet de stocker vos autres mots de passe Comment les gestionnaires de mots de passe gardent vos mots de passe en sécurité Comment les gestionnaires de mots de passe gardent vos mots de passe en toute sécurité Les mots de passe sont difficiles à retenir. Voulez-vous être en sécurité? Vous avez besoin d'un gestionnaire de mot de passe. Voici comment ils fonctionnent et comment ils vous protègent. Lire la suite dans un référentiel. Ensuite, vous pouvez utiliser un mot de passe unique, ridiculement fort pour chaque site. Voici nos choix d'applications de gestion de mot de passe Votre gestionnaire de mots de passe est-il sécurisé? 5 services comparés Votre gestionnaire de mots de passe est-il sécurisé? 5 Services comparés À moins d'avoir une mémoire incroyable, vous ne pouvez en aucun cas espérer vous souvenir de tous vos noms d'utilisateur et mots de passe. L'option sensée est d'utiliser un gestionnaire de mot de passe - mais lequel est le meilleur? Lire la suite .
2. Force brute
Ensuite, nous considérons une attaque par force brute, par laquelle un attaquant essaie toutes les combinaisons de caractères possibles. Les tentatives de mots de passe correspondent aux spécifications des règles de complexité, par exemple, une majuscule, une minuscule, des décimales de Pi, votre commande de pizza, etc.
Une attaque en force brute essayera également les combinaisons de caractères alphanumériques les plus couramment utilisées. Ceux-ci incluent les mots de passe listés précédemment, ainsi que 1q2w3e4r5t, zxcvbnm et qwertyuiop.
Avantages: théoriquement va casser le mot de passe en essayant chaque combinaison.
Inconvénients: en fonction de la longueur du mot de passe et de la difficulté, cela pourrait prendre énormément de temps. Jetez quelques variables comme $, &, {, ou], et la tâche devient extrêmement difficile.
Protégez-vous en: utilisez toujours une combinaison variable de caractères et, si possible, introduisez des symboles supplémentaires pour augmenter la complexité. 6 Conseils pour créer un mot de passe incassable dont vous vous souviendrez 6 Conseils pour créer un mot de passe incassable Incassable, vous pourriez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner. Lire la suite .
3. Phishing
Ce n'est pas strictement un "hack", mais tomber en proie à un hameçonnage ou une tentative de phishing se terminera généralement mal. Les courriels d'hameçonnage généraux envoient par milliards à tous les utilisateurs d'Internet du monde entier.
Un e-mail d'hameçonnage fonctionne généralement comme ceci:
- L'utilisateur cible reçoit un e-mail usurpé prétendant provenir d'une organisation ou d'une entreprise importante
- Les e-mails falsifiés nécessitent une attention immédiate, avec un lien vers un site Web
- Le lien vers le site Web est en fait lié à un faux portail de connexion, mocked up pour apparaître exactement le même que le site légitime
- L'utilisateur cible qui ne se doute de rien saisit ses informations d'identification de connexion et il est redirigé ou invité à réessayer.
- Les informations d'identification de l'utilisateur sont volées, vendues ou utilisées de manière infâme (ou les deux!).
Malgré la mise hors ligne de certains réseaux de robots extrêmement importants en 2016, le nombre de spams distribués a quadruplé à la fin de l'année [IBM X-Force PDF, Registration]. En outre, les pièces jointes malveillantes ont augmenté à un rythme sans précédent, selon l'image ci-dessous.
Et, selon le rapport sur les menaces Internet de Symantec 2017, les fausses factures sont le leurre d'hameçonnage # 1.
Avantages: l'utilisateur remet littéralement ses informations de connexion, y compris son mot de passe. Taux de réussite relativement élevé, facilement adapté à des services spécifiques (les ID Apple sont la cible n ° 1).
Inconvénients: les spams sont facilement filtrés et les noms de spam sont mis en liste noire.
Restez en sécurité: nous avons couvert comment identifier un courriel d'hameçonnage Comment repérer un courriel d'hameçonnage Comment repérer un courriel d'hameçonnage Attraper un courriel d'hameçonnage est difficile! Scammers posent comme PayPal ou Amazon, en essayant de voler votre mot de passe et les informations de carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment repérer la fraude. Lire la suite (en plus de vishing and smishing) Les nouvelles techniques d'hameçonnage doivent prendre en compte: Vishing and Smishing Nouvelles techniques d'hameçonnage Être conscient de: Vishing and Smishing Vishing and smishing sont de nouvelles variantes dangereuses d'hameçonnage. vous connaissez une tentative de vishing ou de smishing quand elle arrive et êtes-vous susceptible d'être une cible? En outre, augmentez votre filtre anti-spam à son niveau le plus élevé ou, mieux encore, utilisez une liste blanche proactive. Utilisez un vérificateur de liens pour déterminer 5 sites rapides qui vous permettent de vérifier si les liens sont sécurisés 5 Sites rapides qui vous permettent de vérifier si les liens sont sécurisés Lorsque vous recevez un lien, vous devez vérifier qu'il ne s'agit pas d'une source de logiciels malveillants. phishing - et ces vérificateurs de liens peuvent vous aider. Lire la suite si un lien e-mail est légitime avant de cliquer.
4. Ingénierie sociale
L'ingénierie sociale s'apparente à du phishing dans le monde réel, loin de l'écran. Lisez mon court, exemple de base ci-dessous (et voici encore plus à surveiller) Comment se protéger de ces 8 attaques d'ingénierie sociale Comment se protéger de ces 8 attaques d'ingénierie sociale Quelles techniques d'ingénierie sociale un hacker utiliserait-il et comment protégeriez-vous? Jetons un coup d'œil à certaines des méthodes d'attaque les plus courantes.
Une partie essentielle de tout audit de sécurité consiste à évaluer ce que tout le personnel comprend. Dans ce cas, une entreprise de sécurité téléphone à l'entreprise qu'ils auditent. L '«agresseur» indique à la personne au téléphone qu'il s'agit de la nouvelle équipe de support technique de bureau et qu'il a besoin du dernier mot de passe pour quelque chose de spécifique. Un individu sans méfiance peut remettre les clés au royaume sans une pause pour la pensée.
La chose effrayante est combien de fois cela fonctionne réellement. L'ingénierie sociale existe depuis des siècles. Etre duplicite pour entrer dans une zone sécurisée est une méthode d'attaque courante, qui n'est protégée que par l'éducation. C'est parce que l'attaque ne demandera pas toujours directement un mot de passe. Il pourrait s'agir d'un faux plombier ou d'un électricien qui demande l'accès à un bâtiment sécurisé, etc.
Avantages: les ingénieurs sociaux qualifiés peuvent extraire des informations de grande valeur à partir d'une série de cibles. Peut être déployé contre presque n'importe qui, n'importe où. Extrêmement furtif.
Les inconvénients: un échec peut soulever des soupçons quant à une attaque imminente, l'incertitude quant à savoir si l'information correcte est obtenue.
Restez en sécurité par : c'est une question délicate. Une attaque d'ingénierie sociale réussie sera terminée au moment où vous réaliserez que quelque chose ne va pas. La sensibilisation à l'éducation et à la sécurité est une tactique d'atténuation fondamentale. Évitez de poster des informations personnelles qui pourraient être utilisées plus tard contre vous.
5. Table arc-en-ciel
Une table arc-en-ciel est généralement une attaque par mot de passe hors ligne. Par exemple, un attaquant a acquis une liste de noms d'utilisateurs et de mots de passe, mais ils sont cryptés. Le mot de passe crypté est haché Chaque site Web sécurisé le fait avec votre mot de passe Chaque site Web sécurisé le fait avec votre mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe des fuites de données? Lire la suite . Cela signifie qu'il semble complètement différent du mot de passe original. Par exemple, votre mot de passe est (espérons pas!) Logmein. Le hash MD5 connu pour ce mot de passe est "8f4047e3233b39e4444e1aef240e80aa".
Gibberish à vous et moi. Mais dans certains cas, l'attaquant exécutera une liste de mots de passe en clair à travers un algorithme de hachage, en comparant les résultats avec un fichier de mot de passe crypté. Dans d'autres cas, l'algorithme de cryptage est vulnérable, et une majorité de mots de passe sont déjà fissurés, comme MD5 (d'où la raison pour laquelle nous connaissons le hachage spécifique pour "logmein".
C'est là que la table arc-en-ciel prend tout son sens. Au lieu de devoir traiter des centaines de milliers de mots de passe potentiels et de faire correspondre leur hachage résultant, une table arc-en-ciel est un énorme ensemble de valeurs de hachage spécifiques à l'algorithme précalculées. L'utilisation d'une table arc-en-ciel réduit considérablement le temps qu'il faut pour déchiffrer un mot de passe haché - mais ce n'est pas parfait. Les pirates informatiques peuvent acheter des tables arc-en-ciel pré-remplies remplies de millions de combinaisons potentielles.
Avantages: peut casser une grande quantité de mots de passe difficiles dans un court laps de temps, accorde au pirate beaucoup de pouvoir sur certains scénarios de sécurité.
Inconvénients: nécessite une énorme quantité d'espace pour stocker l'énorme (parfois téraoctets) arc-en-table. En outre, les attaquants sont limités aux valeurs contenues dans la table (sinon ils doivent ajouter une autre table entière).
Restez en sécurité par: c'est une question délicate. Les tables arc-en-ciel offrent un large éventail de potentiel d'attaque. Évitez les sites qui utilisent SHA1 ou MD5 comme algorithme de hachage de mot de passe. Évitez tout site qui vous limite aux mots de passe courts ou restreint les caractères que vous pouvez utiliser. Utilisez toujours un mot de passe complexe.
6. Malware / Keylogger
Un autre moyen sûr de perdre vos informations de connexion est de tomber en panne de logiciels malveillants. Les logiciels malveillants sont partout, avec le potentiel de faire des dégâts massifs. Si la variante de programme malveillant comporte un enregistreur de frappe Votre ordinateur portable HP peut enregistrer toutes les frappes de touches Votre ordinateur portable HP peut enregistrer toutes vos frappes Si vous possédez un ordinateur portable ou une tablette HP, vous avez peut-être enregistré toutes les données saisies votre disque dur. Ce qui est gentil. En savoir plus, vous pourriez trouver tous vos comptes compromis.
Alternativement, le malware pourrait spécifiquement cibler des données privées, ou introduire un cheval de Troie à distance pour voler vos informations d'identification.
Avantages: des milliers de variantes de logiciels malveillants, certaines personnalisables, avec plusieurs méthodes de livraison faciles. Bonne chance qu'un nombre élevé de cibles succomberont à au moins une variante. Peut passer inaperçu, ce qui permet de récolter davantage de données privées et d'informations d'identification.
Inconvénients: risque que le logiciel malveillant ne fonctionne pas ou soit mis en quarantaine avant d'accéder aux données, aucune garantie que les données sont utiles
Protégez-vous en : installant et mettant régulièrement à jour votre logiciel antivirus et antimalware. Considérant attentivement les sources de téléchargement. Ne pas cliquer sur les paquets d'installation contenant bundleware, et plus encore. Évitez les sites infâmes (je sais, plus facile à dire qu'à faire). Utilisez les outils de blocage de script pour arrêter les scripts malveillants.
7. Spidering
Spidering liens dans l'attaque du dictionnaire, nous avons couvert plus tôt. Si un pirate informatique cible une institution ou une entreprise spécifique, il peut essayer une série de mots de passe relatifs à l'entreprise elle-même. Le hacker pouvait lire et rassembler une série de termes connexes - ou utiliser une araignée de recherche pour faire le travail pour eux.
Vous avez peut-être entendu le terme "araignée" avant. Ces araignées de recherche sont extrêmement similaires à celles qui rampent sur Internet, indexant le contenu pour les moteurs de recherche. La liste de mots personnalisés est ensuite utilisée contre les comptes d'utilisateurs dans l'espoir de trouver une correspondance.
Avantages: peut potentiellement débloquer des comptes pour les individus de haut rang au sein d'une organisation. Relativement facile à mettre en place, et ajoute une dimension supplémentaire à une attaque de dictionnaire.
Les inconvénients: pourraient très bien se révéler infructueux si la sécurité du réseau organisationnel est bien configurée.
Protégez-vous en: utilisez à nouveau uniquement des mots de passe forts à usage unique composés de chaînes aléatoires - aucun lien avec votre personnalité, votre entreprise, votre organisation, etc.
Fort, unique, usage unique
Alors, comment arrêtez-vous un pirate qui vole votre mot de passe? La réponse vraiment courte est que vous ne pouvez pas vraiment être sûr à 100% . Mais vous pouvez atténuer votre exposition à la vulnérabilité.
Une chose est sûre: l'utilisation de mots de passe à usage unique, forts et uniques, ne fait jamais de mal à personne - et ils ont certainement sauvé de l'aide, à plus d'une occasion.
Quelle est votre routine de protection par mot de passe? Utilisez-vous toujours des mots de passe forts à usage unique? Quel est votre gestionnaire de mot de passe de choix? Faites-nous savoir vos pensées ci-dessous!
Crédit d'image: SergeyNivens / Depositphotos