lorsque vous entendez « violation de sécurité », qu’est-ce qui vous vient à l’esprit? Un pirate malveillant assis devant des écrans recouverts de texte numérique de type matrice? Ou un adolescent au sous-sol qui n’a pas vu la lumière du jour depuis trois semaines? Que diriez-vous d’un superordinateur puissant qui tente de pirater le monde entier?
le piratage ne concerne qu’une chose: votre mot de passe. Si quelqu’un peut deviner votre mot de passe, il n’a pas besoin de techniques de piratage sophistiquées et de supercalculateurs. Ils vont juste se connecter, agissant comme vous. Si votre mot de passe est court et simple, c’est game over.,
Il existe huit tactiques courantes que les pirates utilisent pour pirater votre mot de passe. Jetons un coup d’oeil.
1. Dictionnaire Hack
tout d’abord dans le guide des tactiques de piratage de mot de passe commun est l’attaque dictionnaire. Pourquoi s’appelle – t-on une attaque par dictionnaire? Parce qu’il essaie automatiquement chaque mot d’un « dictionnaire » défini par rapport au mot de passe. Le dictionnaire n’est pas strictement celui que vous avez utilisé à l’école.
Non., Ce dictionnaire est en fait un petit fichier qui contiendra également les combinaisons de mots de passe les plus couramment utilisées. Cela inclut 123456, qwerty, password, iloveyou et le classique de tous les temps, hunter2. Le tableau ci-dessus détaille les mots de passe les plus divulgués en 2016.
le tableau ci-dessous détaille les mots de passe les plus divulgués en 2020. Noter les similitudes entre les deux—et assurez-vous de ne pas utiliser ces incroyablement simples options.
Avantages: Rapide, généralement débloquer certains cruellement comptes protégés.,
inconvénients: même les mots de passe légèrement plus forts resteront sécurisés.
restez en sécurité: utilisez un mot de passe fort à usage unique pour chaque compte, en conjonction avec une application de gestion des mots de passe. Le gestionnaire de mots de passe vous permet de stocker vos autres mots de passe dans un référentiel. Ensuite, vous pouvez utiliser un seul mot de passe ridiculement fort pour chaque site. Consultez notre aperçu du Gestionnaire de mots de passe Google pour commencer.
besoin d’un gestionnaire de mots de passe sécurisé pour Linux?, Ces applications sont faciles à utiliser et protègent vos mots de passe en ligne.
2. Force Brute
ensuite, l’attaque par force brute, par laquelle un attaquant tente toutes les combinaisons de caractères possibles. Les mots de passe tentés correspondent aux spécifications des règles de complexité, par exemple, y compris une majuscule, une minuscule, des décimales de Pi, votre commande de pizza, etc.
Une attaque par force brute essaiera également d’abord les combinaisons de caractères alphanumériques les plus couramment utilisées. Ceux-ci incluent les mots de passe énumérés précédemment, ainsi que 1q2w3e4r5t, zxcvbnm et qwertyuiop., Cela peut prendre beaucoup de temps pour trouver un mot de passe en utilisant cette méthode, mais cela dépend entièrement de la complexité du mot de passe.
avantages: théoriquement, craquera n’importe quel mot de passe en essayant chaque combinaison.
inconvénients: en fonction de la longueur du mot de passe et de la difficulté, cela peut prendre un temps extrêmement long. Ajoutez quelques variables comme $, &, {, ou ], et trouver le mot de passe devient extrêmement difficile.
restez en sécurité: Utilisez toujours une combinaison variable de caractères et, si possible, introduisez des symboles supplémentaires pour augmenter la complexité.
3., Phishing
ce n’est pas strictement un « hack », mais tomber en proie à une tentative de phishing ou de spear-phishing se terminera généralement mal. Les e-mails de phishing généraux envoient par milliards à toutes sortes d’utilisateurs d’internet dans le monde entier.,un e-mail usurpé prétendant provenir d’une organisation ou d’une entreprise majeure
Le volume de spam quotidien envoyé dans le monde reste élevé, représentant plus de la moitié de tous les e-mails envoyés dans le monde., En outre, le volume de pièces jointes malveillantes est également élevé, Kaspersky notant plus de 92 millions de pièces jointes malveillantes de janvier à juin 2020. Rappelez-vous, c’est juste pour Kaspersky, donc le nombre réel est beaucoup plus élevé.
de Retour en 2017, le plus grand de phishing leurre était une fausse facture. Cependant, en 2020, la pandémie de COVID-19 a fourni une nouvelle menace de phishing.,
en avril 2020, peu de temps après que de nombreux pays sont entrés en confinement pandémique, Google a annoncé qu’il bloquait plus de 18 millions de spams malveillants et d’e-mails de phishing sur le thème COVID-19 par jour. Un grand nombre de ces e-mails utilisent l’image de marque officielle du gouvernement ou de l’organisation de la santé pour légitimer et prendre les victimes au dépourvu.
avantages: l’utilisateur remet littéralement ses informations de connexion, y compris son mot de passe. Taux de réussite relativement élevé, facilement adapté à des services spécifiques ou à des personnes spécifiques lors d’une attaque de spear phishing.,
inconvénients: les spams sont facilement filtrés, les domaines spams sont mis sur liste noire et les principaux fournisseurs comme Google mettent constamment à jour les protections.
restez en sécurité: nous avons couvert comment repérer un e-mail de phishing. En outre, augmentez votre filtre anti-spam à son réglage le plus élevé ou, mieux encore, utilisez une liste blanche proactive. Utilisez un vérificateur de liens pour vérifier si un lien d’e-mail est légitime avant de cliquer.
4. Ingénierie sociale
l’ingénierie sociale est essentiellement du phishing dans le monde réel, loin de l’écran., Lisez mon court exemple de base ci-dessous (et en voici d’autres à surveiller!).
un élément essentiel de tout audit de sécurité consiste à évaluer ce que l’ensemble de la main-d’œuvre comprend. Dans ce cas, une société de sécurité téléphonera à l’entreprise qu’elle audite. L ‘ »attaquant » dit à la personne au téléphone qu’elle est la nouvelle équipe de support technique d’office et qu’elle a besoin du dernier mot de passe pour quelque chose de spécifique. Un individu sans méfiance peut remettre les clés du royaume sans une pause de réflexion.
la chose effrayante est la fréquence à laquelle cela fonctionne. L’ingénierie sociale existe depuis des siècles., Être duplicate pour entrer dans une zone sécurisée est une méthode d’attaque courante et qui n’est protégée contre qu’avec l’éducation. En effet, l’attaque ne demandera pas toujours directement un mot de passe. Il pourrait s’agir d’un faux plombier ou d’un électricien demandant l’entrée dans un bâtiment sécurisé, etc.
avantages: des ingénieurs sociaux qualifiés peuvent extraire des informations de grande valeur à partir d’une gamme de cibles. Peut être déployé contre presque n’importe qui, n’importe où. Extrêmement discret.,
inconvénients: une défaillance de l’ingénierie sociale peut soulever des soupçons sur une attaque imminente, l’incertitude quant à savoir si les informations correctes sont obtenues.
restez en sécurité: c’est un problème délicat. Une attaque réussie d’ingénierie sociale sera terminée au moment où vous réaliserez que quelque chose ne va pas. L’éducation et la sensibilisation à la sécurité sont une tactique d’atténuation essentielle. Évitez de publier des informations personnelles qui pourraient être utilisées ultérieurement contre vous.
5. Table Rainbow
une table rainbow est généralement une attaque par mot de passe hors ligne., Par exemple, un attaquant a acquis une liste de noms d’utilisateur et de mots de passe, mais ils sont cryptés. Le mot de passe chiffré est haché. Cela signifie qu’il semble complètement différent du mot de passe d’origine.
par exemple, votre mot de passe est (j’espère que non!) logmein. Le hachage MD5 connu pour ce mot de passe est « 8f4047e3233b39e4444e1aef240e80aa. »
du Charabia pour vous et moi., Mais dans certains cas, l’attaquant exécutera une liste de mots de passe en texte brut via un algorithme de hachage, comparant les résultats à un fichier de mot de passe crypté. Dans d’autres cas, l’algorithme de chiffrement est vulnérable et la majorité des mots de passe sont déjà fissurés, comme MD5 (d’où la raison pour laquelle nous connaissons le hachage spécifique pour « logmein. »
C’est là que la table arc-en-ciel prend tout son sens. Au lieu d’avoir à traiter des centaines de milliers de mots de passe potentiels et à faire correspondre leur hachage résultant, une table arc-en-ciel est un énorme ensemble de valeurs de hachage spécifiques à un algorithme précalculé.,
L’utilisation d’une table arc-en-ciel diminue considérablement le temps nécessaire pour déchiffrer un mot de passe haché- – – mais ce n’est pas parfait. Les pirates peuvent acheter des tables arc-en-ciel préremplies peuplées de millions de combinaisons potentielles.
Avantages: peut comprendre des mots de passe complexes en peu de temps, accorde au pirate beaucoup de pouvoir sur certains scénarios de sécurité.
inconvénients: nécessite une énorme quantité d’espace pour stocker l’énorme table arc-en-ciel (parfois des téraoctets). En outre, les attaquants sont limités aux valeurs contenues dans la table (sinon, ils doivent ajouter une autre table entière).,
Restez en sécurité: un autre délicat. Les tables arc-en-ciel offrent un large éventail de possibilités d’attaque. Évitez les sites qui utilisent SHA1 ou MD5 comme algorithme de hachage de mot de passe. Évitez les sites qui vous limitent à des mots de passe courts ou restreignent les caractères que vous pouvez utiliser. Utilisez toujours un mot de passe complexe.
Vous vous demandez comment savoir si un site Web stocke des mots de passe en clair? Consultez ce guide pour savoir.
6. Malware/Keylogger
Un autre moyen sûr de perdre vos informations de connexion est de tomber sous le coup de logiciels malveillants. Les logiciels malveillants sont partout, avec le potentiel de faire des dégâts massifs., Si la variante de malware dispose d’un enregistreur de frappe, vous pouvez trouver tous vos comptes compromis.
alternativement, le malware pourrait cibler spécifiquement les données privées ou introduire un cheval de Troie d’accès à distance pour voler vos informations d’identification.
avantages: des milliers de variantes de logiciels malveillants, dont beaucoup personnalisables, avec plusieurs méthodes de livraison faciles. Il y a de bonnes chances qu’un grand nombre de cibles succombent à au moins une variante. Il peut passer inaperçu, ce qui permet de récolter davantage de données privées et d’informations de connexion.,
inconvénients: Chance que le malware ne fonctionne pas, ou est mis en quarantaine avant d’accéder aux données, aucune garantie que les données sont utiles.
restez en sécurité: installez et mettez régulièrement à jour votre logiciel antivirus et antimalware. Examinez attentivement vos sources de téléchargement. Ne cliquez pas sur les paquets d’installation contenant bundleware et plus encore. Évitez les sites infâmes (je sais, plus facile à dire qu’à faire). Utilisez des outils de blocage de script pour arrêter les scripts malveillants.
7. Spidering
Spidering est lié à l’attaque du dictionnaire que nous avons couverte plus tôt., Si un pirate cible une institution ou une entreprise spécifique, il peut essayer une série de mots de passe relatifs à l’entreprise elle-même. Le pirate pourrait lire et rassembler une série de termes connexes or ou utiliser une araignée de recherche pour faire le travail pour eux.
Vous avez peut-être déjà entendu le terme « Araignée ». Ces araignées de recherche sont extrêmement similaires à celles qui parcourent internet, indexant le contenu pour les moteurs de recherche. La liste de mots personnalisée est ensuite utilisée contre les comptes d’utilisateurs dans l’espoir de trouver une correspondance.,
Avantages: peut potentiellement débloquer des comptes pour des personnes de haut rang au sein d’une organisation. Relativement facile à mettre en place et ajoute une dimension supplémentaire à une attaque de dictionnaire.
inconvénients: pourrait très bien finir sans résultat si la sécurité du réseau organisationnel est bien configurée.
Restez en sécurité en: encore une fois, utilisez uniquement des mots de passe forts et à usage unique composés de chaînes aléatoires—rien de lié à votre personnalité, entreprise, organisation, etc.
8. Shoulder Surfing
D’accord, L’option finale est l’une des plus basiques., Que faire si quelqu’un regarde juste au-dessus de votre devrait pendant que vous tapez votre mot de passe?
Shoulder surfing semble un peu ridicule, mais cela arrive. Si vous travaillez dans un café animé du centre-ville et que vous ne faites pas attention à votre environnement, quelqu’un pourrait s’approcher suffisamment pour noter votre mot de passe lorsque vous tapez.
avantages: approche à faible technologie pour voler un mot de passe.
inconvénients: doit identifier la cible avant de trouver le mot de passe, pourrait se révéler dans le processus de vol.,
restez en sécurité: restez attentif à ceux qui vous entourent lorsque vous tapez votre mot de passe, couvrez votre clavier, masquez vos touches lors de la saisie.
Utilisez toujours un mot de passe fort, Unique et à usage unique
alors, comment empêcher un pirate de voler votre mot de passe? La réponse vraiment courte est que vous ne pouvez pas vraiment être sûr à 100%. Les outils que les pirates utilisent pour voler vos données changent tout le temps. Mais vous pouvez atténuer votre exposition à la vulnérabilité.
Une chose est sûre: l’utilisation d’un mot de passe fort, unique et à usage unique ne fait jamais de mal à personne., Si vous voulez des outils pour créer des mots de passe et des phrases de passe forts, nous pouvons vous aider!
- sécurité
- mot de passe
- sécurité en ligne
- piratage
- conseils de sécurité
à propos de L’auteur
Gavin est L’éditeur Junior Pour Windows et la technologie expliquée, un contributeur régulier pour le podcast vraiment utile, et était L’éditeur pour le site soeur axé sur la crypto de MakeUseOf, blocks decoded., Il a un BA (Hons) écriture contemporaine avec des pratiques D’Art numérique pillées des collines du Devon, ainsi que plus d’une décennie d’expérience en écriture professionnelle. Il aime beaucoup le thé, les jeux de société et le football.
Plus De Gavin Phillips