l'Internet

Les dix principales techniques de craquage de mots de passe utilisées par les pirates

Comprendre les techniques de piratage de mots de passe utilisées par les pirates pour faire exploser vos comptes en ligne est un excellent moyen de vous assurer que cela ne vous arrive jamais.

Les dix principales techniques de craquage de mots de passe utilisées par les pirates

Vous aurez certainement toujours besoin de changer votre mot de passe, et parfois de manière plus urgente que vous ne le pensez, mais lutter contre le vol est un excellent moyen de rester au top de la sécurité de votre compte. Vous pouvez toujours vous rendre sur www.haveibeenpwned.com pour vérifier si vous êtes à risque, mais penser simplement que votre mot de passe est suffisamment sécurisé pour ne pas être piraté est un mauvais état d'esprit à avoir.

Donc, pour vous aider à comprendre comment les pirates obtiennent vos mots de passe - sécurisés ou non - nous avons dressé une liste des dix principales techniques de piratage de mots de passe utilisées par les pirates. Certaines des méthodes ci-dessous sont certainement obsolètes, mais cela ne signifie pas qu'elles ne sont toujours pas utilisées. Lisez attentivement et apprenez contre quoi atténuer.

Les dix meilleures techniques de piratage de mots de passe utilisées par les pirates

1. Attaque par dictionnaire

password_cracking_-_dictionary

L'attaque par dictionnaire utilise un simple fichier contenant des mots que l'on peut trouver dans un dictionnaire, d'où son nom assez simple. En d'autres termes, cette attaque utilise exactement le genre de mots que de nombreuses personnes utilisent comme mot de passe.

Regrouper intelligemment des mots tels que "letmein" ou "superadministratorguy" n'empêchera pas votre mot de passe d'être craqué de cette façon - enfin, pas plus de quelques secondes supplémentaires.

2. Attaque par force brute

Semblable à l'attaque par dictionnaire, l'attaque par force brute s'accompagne d'un bonus supplémentaire pour le pirate informatique. Au lieu d'utiliser simplement des mots, une attaque par force brute leur permet de détecter des mots non-dictionnaires en utilisant toutes les combinaisons alphanumériques possibles de aaa1 à zzz10.

Ce n'est pas rapide, à condition que votre mot de passe comporte plus d'une poignée de caractères, mais cela finira par découvrir votre mot de passe. Les attaques par force brute peuvent être raccourcies en lançant une puissance de calcul supplémentaire, en termes de puissance de traitement - y compris l'exploitation de la puissance du GPU de votre carte vidéo - et de nombre de machines, comme l'utilisation de modèles informatiques distribués comme les mineurs de bitcoins en ligne.

3. Attaque de la table arc-en-ciel

Les tables arc-en-ciel ne sont pas aussi colorées que leur nom l'indique, mais, pour un pirate informatique, votre mot de passe pourrait bien se trouver à la fin. De la manière la plus simple possible, vous pouvez réduire une table arc-en-ciel en une liste de hachages pré-calculés - la valeur numérique utilisée lors du cryptage d'un mot de passe. Ce tableau contient des hachages de toutes les combinaisons de mots de passe possibles pour un algorithme de hachage donné. Les tables arc-en-ciel sont attrayantes car elles réduisent le temps nécessaire pour déchiffrer un hachage de mot de passe à simplement rechercher quelque chose dans une liste.

Cependant, les tables arc-en-ciel sont des choses énormes et difficiles à manier. Ils nécessitent une puissance de calcul importante pour fonctionner et une table devient inutile si le hachage qu'elle essaie de trouver a été « salé » par l'ajout de caractères aléatoires à son mot de passe avant le hachage de l'algorithme.

On parle de tables arc-en-ciel salées existantes, mais celles-ci seraient si grandes qu'elles seraient difficiles à utiliser dans la pratique. Ils ne fonctionneraient probablement qu'avec un jeu de "caractères aléatoires" prédéfini et des chaînes de mot de passe inférieures à 12 caractères, car la taille de la table serait prohibitive même pour les pirates informatiques au niveau de l'État.

4. Hameçonnage

password_cracking_-_phishing

Il existe un moyen simple de pirater, de demander à l'utilisateur son mot de passe. Un e-mail de phishing conduit le lecteur sans méfiance vers une page de connexion falsifiée associée au service auquel le pirate souhaite accéder, généralement en demandant à l'utilisateur de résoudre un problème terrible avec sa sécurité. Cette page écume ensuite leur mot de passe et le pirate peut l'utiliser à ses propres fins.

Pourquoi se donner la peine de déchiffrer le mot de passe alors que l'utilisateur se fera un plaisir de vous le donner de toute façon ?

5. Ingénierie sociale

L'ingénierie sociale prend l'ensemble du concept de « demander à l'utilisateur » en dehors de la boîte de réception avec laquelle le phishing a tendance à rester et dans le monde réel.

L'un des favoris de l'ingénieur social est d'appeler un bureau en se faisant passer pour un technicien en sécurité informatique et de demander simplement le mot de passe d'accès au réseau. Vous seriez étonné de la fréquence à laquelle cela fonctionne. Certains ont même les gonades nécessaires pour enfiler un costume et un badge avant d'entrer dans une entreprise pour poser la même question face à face à la réceptionniste.

6. Logiciels malveillants

Un enregistreur de frappe, ou grattoir d'écran, peut être installé par un logiciel malveillant qui enregistre tout ce que vous tapez ou prend des captures d'écran lors d'un processus de connexion, puis transmet une copie de ce fichier à Hacker Central.

Certains logiciels malveillants rechercheront l'existence d'un fichier de mot de passe client du navigateur Web et le copieront qui, à moins qu'il ne soit correctement crypté, contiendra des mots de passe enregistrés facilement accessibles à partir de l'historique de navigation de l'utilisateur.

7. Craquage hors ligne

Il est facile d'imaginer que les mots de passe sont sûrs lorsque les systèmes qu'ils protègent verrouillent les utilisateurs après trois ou quatre fausses suppositions, bloquant les applications de devinettes automatisées. Eh bien, ce serait vrai s'il n'y avait pas eu le fait que la plupart des piratages de mots de passe ont lieu hors ligne, en utilisant un ensemble de hachages dans un fichier de mots de passe qui a été « obtenu » à partir d'un système compromis.

Souvent, la cible en question a été compromise via un piratage sur un tiers, qui donne ensuite accès aux serveurs du système et à ces fichiers de hachage de mot de passe utilisateur très importants. Le pirate de mot de passe peut alors prendre le temps nécessaire pour essayer de déchiffrer le code sans alerter le système cible ou l'utilisateur individuel.

8. Surf d'épaule

password_cracking_-_shoulder_surfing

Une autre forme d'ingénierie sociale, la navigation sur l'épaule, tout comme elle l'implique, consiste à jeter un œil par-dessus les épaules d'une personne pendant qu'elle saisit des informations d'identification, des mots de passe, etc. Bien que le concept soit très rudimentaire, vous seriez surpris du nombre de mots de passe et d'informations sensibles. est volé de cette façon, alors restez conscient de votre environnement lorsque vous accédez à des comptes bancaires, etc. lors de vos déplacements.

Les pirates informatiques les plus confiants prendront l'apparence d'un coursier de colis, d'un technicien de service de climatisation ou de tout autre élément leur permettant d'accéder à un immeuble de bureaux. Une fois à l'intérieur, le personnel de service « uniforme » fournit une sorte de laissez-passer gratuit pour se promener sans entrave et noter les mots de passe saisis par de véritables membres du personnel. Il offre également une excellente occasion de regarder tous ces post-it collés à l'avant des écrans LCD avec des identifiants griffonnés dessus.

9. Araignée

Les pirates informatiques avisés ont réalisé que de nombreux mots de passe d'entreprise sont constitués de mots liés à l'entreprise elle-même. L'étude de la littérature d'entreprise, du matériel de vente de sites Web et même des sites Web des concurrents et des clients répertoriés peut fournir les munitions nécessaires pour créer une liste de mots personnalisée à utiliser dans une attaque par force brute.

Des pirates informatiques très avisés ont automatisé le processus et ont laissé une application de spidering, similaire aux robots d'exploration Web utilisés par les principaux moteurs de recherche, pour identifier les mots-clés, collecter et assembler les listes pour eux.

10. Devinez

Le meilleur ami des crackers de mots de passe, bien sûr, est la prévisibilité de l'utilisateur. À moins qu'un mot de passe vraiment aléatoire n'ait été créé à l'aide d'un logiciel dédié à la tâche, il est peu probable qu'un mot de passe « aléatoire » généré par l'utilisateur soit quelque chose de ce genre.

Au lieu de cela, grâce à l'attachement émotionnel de notre cerveau aux choses que nous aimons, il est probable que ces mots de passe aléatoires soient basés sur nos intérêts, nos loisirs, nos animaux de compagnie, notre famille, etc. En fait, les mots de passe ont tendance à être basés sur tout ce dont nous aimons discuter sur les réseaux sociaux et même à inclure dans nos profils. Les pirates de mots de passe sont très susceptibles d'examiner ces informations et de faire quelques suppositions éclairées - souvent correctes - lorsqu'ils tentent de déchiffrer un mot de passe au niveau du consommateur sans recourir à des attaques par dictionnaire ou par force brute.

Autres attaques dont il faut se méfier

Si les hackers manquent de quelque chose, ce n'est pas de la créativité. En utilisant une variété de techniques et en s'adaptant aux protocoles de sécurité en constante évolution, ces intrus continuent de réussir.

Par exemple, n'importe qui sur les réseaux sociaux a probablement vu les quiz amusants et les modèles vous demandant de parler de votre première voiture, de votre plat préféré, de la chanson numéro un de votre 14e anniversaire. Bien que ces jeux semblent inoffensifs et qu'ils soient certainement amusants à publier, ils constituent en fait un modèle ouvert pour les questions de sécurité et les réponses à la vérification de l'accès au compte.

Lors de la création d'un compte, essayez peut-être d'utiliser des réponses qui ne vous concernent pas réellement, mais dont vous vous souviendrez facilement. "Quel était votre première voiture?" Au lieu de répondre honnêtement, mettez plutôt la voiture de vos rêves. Sinon, ne publiez simplement aucune réponse de sécurité en ligne.

Une autre façon d'y accéder consiste simplement à réinitialiser votre mot de passe. La meilleure ligne de défense contre un intrus qui réinitialise votre mot de passe consiste à utiliser une adresse e-mail que vous consultez fréquemment et à mettre à jour vos informations de contact. Si disponible, activez toujours l'authentification à 2 facteurs. Même si le pirate informatique apprend votre mot de passe, il ne peut pas accéder au compte sans un code de vérification unique.

Questions fréquemment posées

Pourquoi ai-je besoin d'un mot de passe différent pour chaque site ?

Vous savez probablement que vous ne devez pas divulguer vos mots de passe et que vous ne devez télécharger aucun contenu que vous ne connaissez pas, mais qu'en est-il des comptes auxquels vous vous connectez tous les jours ? Supposons que vous utilisiez le même mot de passe pour votre compte bancaire que vous utilisez pour un compte arbitraire comme Grammarly. Si Grammarly est piraté, l'utilisateur dispose alors également de votre mot de passe bancaire (et éventuellement de votre e-mail, ce qui facilite encore plus l'accès à toutes vos ressources financières).

Que puis-je faire pour protéger mes comptes ?

L'utilisation de 2FA sur tous les comptes offrant cette fonctionnalité, l'utilisation de mots de passe uniques pour chaque compte et l'utilisation d'un mélange de lettres et de symboles constituent la meilleure ligne de défense contre les pirates. Comme indiqué précédemment, il existe de nombreuses manières différentes pour les pirates d'accéder à vos comptes, vous devez donc vous assurer que vous faites régulièrement la mise à jour de vos logiciels et applications (pour les correctifs de sécurité) et en évitant les téléchargements que vous ne connaissez pas.

Quel est le moyen le plus sûr de conserver les mots de passe ?

Garder le contact avec plusieurs mots de passe particulièrement étranges peut être incroyablement difficile. Bien qu'il soit de loin préférable de passer par le processus de réinitialisation de mot de passe que de compromettre vos comptes, cela prend du temps. Pour protéger vos mots de passe, vous pouvez utiliser un service comme Last Pass ou KeePass pour enregistrer tous les mots de passe de votre compte.

Vous pouvez également utiliser un algorithme unique pour conserver vos mots de passe tout en les rendant plus faciles à mémoriser. Par exemple, PayPal pourrait être quelque chose comme hwpp+c832. Essentiellement, ce mot de passe est la première lettre de chaque coupure dans l'URL (//www.paypal.com) avec le dernier chiffre de l'année de naissance de chaque personne dans votre maison (juste à titre d'exemple). Lorsque vous allez vous connecter à votre compte, visualisez l'URL qui vous donnera les premières lettres de ce mot de passe.

Ajoutez des symboles pour rendre votre mot de passe encore plus difficile à pirater, mais organisez-les de manière à ce qu'ils soient plus faciles à retenir. Par exemple, le symbole "+" peut être pour tous les comptes liés au divertissement tandis que le "!" peut être utilisé pour les comptes financiers.