Les 8 astuces les plus courantes utilisées pour pirater des mots de passe

Lorsque vous entendez «faille de sécurité», à quoi pensez-vous? Un hacker malveillant assis devant des écrans recouverts de texte numérique de type Matrix? Ou un adolescent au sous-sol qui n'a pas vu la lumière du jour depuis trois semaines? Que diriez-vous d'un supercalculateur puissant tentant de pirater le monde entier?

Le piratage est une chose: votre mot de passe. Si quelqu'un peut deviner votre mot de passe, il n'a pas besoin de techniques de piratage sophistiquées ni de superordinateurs. Ils se connecteront simplement, agissant comme vous. Si votre mot de passe est court et simple, la partie est terminée.

Il existe huit tactiques courantes que les pirates utilisent pour pirater votre mot de passe. Nous allons jeter un coup d'oeil.

1. Dictionnaire Hack

L'attaque par dictionnaire est tout d'abord dans le guide des tactiques courantes de piratage de mot de passe. Pourquoi s'appelle-t-elle une attaque par dictionnaire? Parce qu'il essaie automatiquement chaque mot d'un «dictionnaire» défini par rapport au mot de passe. Le dictionnaire n'est pas strictement celui que vous utilisiez à l'école.

Non. Ce dictionnaire est en fait un petit fichier qui contiendra également les combinaisons de mots de passe les plus couramment utilisées. Cela inclut 123456, qwerty, password, iloveyou et le classique de tous les temps, hunter2. Le tableau ci-dessus détaille les mots de passe les plus divulgués en 2016.

Le tableau ci-dessous détaille les mots de passe les plus divulgués en 2020. Notez les similitudes entre les deux — et assurez-vous de ne pas utiliser ces options incroyablement simples.

Avantages: Rapide, déverrouillera généralement certains comptes extrêmement protégés.

Inconvénients: même les mots de passe légèrement plus forts resteront sécurisés.

Restez en sécurité: utilisez un mot de passe fort à usage unique pour chaque compte, en conjonction avec une application de gestion des mots de passe . Le gestionnaire de mots de passe vous permet de stocker vos autres mots de passe dans un référentiel. Ensuite, vous pouvez utiliser un seul mot de passe ridiculement fort pour chaque site. Consultez notre présentation de Google Password Manager pour commencer.

2. Force brute

Ensuite, l'attaque par force brute, par laquelle un attaquant essaie toutes les combinaisons de personnages possibles. Les mots de passe tentés correspondront aux spécifications des règles de complexité, par exemple, y compris une majuscule, une minuscule, les décimales de Pi, votre commande de pizza, etc.

Une attaque par force brute essaiera également d'abord les combinaisons de caractères alphanumériques les plus couramment utilisées. Ceux-ci incluent les mots de passe précédemment répertoriés, ainsi que 1q2w3e4r5t, zxcvbnm et qwertyuiop. Cela peut prendre beaucoup de temps pour trouver un mot de passe à l'aide de cette méthode, mais cela dépend entièrement de la complexité du mot de passe.

Avantages: Théoriquement, craquera n'importe quel mot de passe en essayant chaque combinaison.

Inconvénients: en fonction de la longueur et de la difficulté du mot de passe, cela peut prendre un temps extrêmement long. Ajoutez quelques variables comme $, &, {ou], et trouver le mot de passe devient extrêmement difficile.

Soyez prudent: utilisez toujours une combinaison variable de caractères et, si possible, ajoutez des symboles supplémentaires pour augmenter la complexité .

3. Phishing

Ce n'est pas strictement un "hack", mais être la proie d'une tentative de phishing ou de spear-phishing se terminera généralement mal. Les e-mails de phishing généraux sont envoyés par milliards à toutes sortes d'internautes à travers le monde.

Un e-mail de phishing fonctionne généralement comme ceci:

1. L'utilisateur cible reçoit un e-mail usurpé prétendant provenir d'une organisation ou d'une entreprise majeure
2. Les e-mails falsifiés nécessitent une attention immédiate, avec un lien vers un site Web
3. Le lien vers le site Web renvoie en fait à un faux portail de connexion, simulé pour apparaître exactement comme le site légitime
4. L'utilisateur cible sans méfiance entre ses informations de connexion et est soit redirigé, soit invité à réessayer
5. Les informations d'identification de l'utilisateur sont volées, vendues ou utilisées de manière néfaste (ou les deux)

Le volume de spam quotidien envoyé dans le monde reste élevé, représentant plus de la moitié de tous les e-mails envoyés dans le monde. De plus, le volume de pièces jointes malveillantes est également élevé, Kaspersky notant plus de 92 millions de pièces jointes malveillantes de janvier à juin 2020. N'oubliez pas que c'est juste pour Kaspersky, donc le nombre réel est beaucoup plus élevé.

En 2017, le plus gros leurre de phishing était une fausse facture. Cependant, en 2020, la pandémie COVID-19 a constitué une nouvelle menace de phishing .

En avril 2020, peu de temps après que de nombreux pays sont entrés dans le verrouillage pandémique, Google a annoncé qu'il bloquait plus de 18 millions de spams malveillants et de courriers électroniques de phishing sur le thème COVID-19 par jour. Un grand nombre de ces courriels utilisent la marque officielle du gouvernement ou des organisations de santé pour leur légitimité et pour prendre les victimes au dépourvu.

Avantages: l'utilisateur transmet littéralement ses informations de connexion, y compris son mot de passe. Taux de réussite relativement élevé, facilement adapté à des services spécifiques ou à des personnes spécifiques lors d'une attaque de spear phishing .

Inconvénients: les e-mails de spam sont facilement filtrés, les domaines de spam mis sur liste noire et les principaux fournisseurs comme Google mettent constamment à jour les protections.

Restez en sécurité: nous avons expliqué comment détecter un e-mail de phishing . De plus, augmentez votre filtre anti-spam à son réglage le plus élevé ou, mieux encore, utilisez une liste blanche proactive. Utilisez un vérificateur de lien pour vérifier si un lien e-mail est légitime avant de cliquer.

4. Ingénierie sociale

L'ingénierie sociale est essentiellement du phishing dans le monde réel, loin de l'écran. Lisez mon court exemple de base ci-dessous (et en voici d'autres à surveiller !).

Un élément essentiel de tout audit de sécurité consiste à évaluer ce que l'ensemble du personnel comprend. Dans ce cas, une entreprise de sécurité téléphonera à l'entreprise qu'elle audite. L '«attaquant» dit à la personne au téléphone qu'il est la nouvelle équipe de support technique de bureau et qu'il a besoin du dernier mot de passe pour quelque chose de spécifique. Un individu sans méfiance peut remettre les clés du royaume sans réfléchir.

La chose effrayante est la fréquence à laquelle cela fonctionne. L'ingénierie sociale existe depuis des siècles. Être duplicité pour accéder à une zone sécurisée est une méthode d'attaque courante et qui n'est protégée que par l'éducation. En effet, l'attaque ne demandera pas toujours directement un mot de passe. Il peut s'agir d'un faux plombier ou électricien demandant l'entrée dans un bâtiment sécurisé, etc.

Avantages: des ingénieurs sociaux qualifiés peuvent extraire des informations de grande valeur à partir d'une gamme de cibles. Peut être déployé contre presque n'importe qui, n'importe où. Extrêmement furtif.

Inconvénients: Un échec de l'ingénierie sociale peut soulever des soupçons sur une attaque imminente, l'incertitude quant à savoir si les informations correctes sont obtenues.

Restez en sécurité : c'est une question délicate. Une attaque d'ingénierie sociale réussie sera terminée lorsque vous vous rendrez compte que quelque chose ne va pas. L'éducation et la sensibilisation à la sécurité sont une tactique d'atténuation fondamentale. Évitez de publier des informations personnelles qui pourraient être utilisées ultérieurement contre vous.

5. Table arc-en-ciel

Une table arc-en-ciel est généralement une attaque de mot de passe hors ligne. Par exemple, un attaquant a acquis une liste de noms d'utilisateur et de mots de passe, mais ils sont chiffrés. Le mot de passe chiffré est haché . Cela signifie qu'il est complètement différent du mot de passe d'origine.

Par exemple, votre mot de passe est (espérons que non!) Logmein. Le hachage MD5 connu pour ce mot de passe est «8f4047e3233b39e4444e1aef240e80aa».

Gibberish pour vous et moi. Mais dans certains cas, l'attaquant exécutera une liste de mots de passe en clair via un algorithme de hachage, comparant les résultats à un fichier de mots de passe crypté. Dans d'autres cas, l'algorithme de chiffrement est vulnérable et une majorité de mots de passe sont déjà piratés, comme MD5 (d'où la raison pour laquelle nous connaissons le hachage spécifique pour «logmein».

C'est là que la table arc-en-ciel prend tout son sens. Au lieu d'avoir à traiter des centaines de milliers de mots de passe potentiels et à faire correspondre leur hachage résultant, une table arc-en-ciel est un vaste ensemble de valeurs de hachage précalculées spécifiques à un algorithme.

L'utilisation d'une table arc-en-ciel réduit considérablement le temps nécessaire pour déchiffrer un mot de passe haché – mais ce n'est pas parfait. Les pirates peuvent acheter des tables arc-en-ciel préremplies peuplées de millions de combinaisons potentielles.

Avantages: Peut comprendre des mots de passe complexes en peu de temps, donne au pirate beaucoup de pouvoir sur certains scénarios de sécurité.

Inconvénients: nécessite une énorme quantité d'espace pour stocker l'énorme table arc-en-ciel (parfois des téraoctets). De plus, les attaquants sont limités aux valeurs contenues dans la table (sinon, ils doivent ajouter une autre table entière).

Restez en sécurité: une autre question délicate. Les tables Rainbow offrent un large éventail de potentiels d'attaque. Évitez les sites qui utilisent SHA1 ou MD5 comme algorithme de hachage de mot de passe. Évitez les sites qui vous limitent à des mots de passe courts ou restreignent les caractères que vous pouvez utiliser. Utilisez toujours un mot de passe complexe.

Vous vous demandez comment savoir si un site Web stocke les mots de passe en texte brut ? Consultez ce guide pour le découvrir.

6. Logiciel malveillant / Keylogger

Un autre moyen sûr de perdre vos informations de connexion est de tomber sous le coup des logiciels malveillants. Les logiciels malveillants sont partout, avec le potentiel de faire des dégâts énormes. Si la variante du logiciel malveillant comporte un enregistreur de frappe, vous pourriez trouver tous vos comptes compromis.

Alternativement, le logiciel malveillant peut cibler spécifiquement des données privées ou introduire un cheval de Troie d'accès à distance pour voler vos informations d'identification.

Avantages: des milliers de variantes de logiciels malveillants, dont beaucoup sont personnalisables, avec plusieurs méthodes de diffusion faciles. Il y a de fortes chances qu'un grand nombre de cibles succombent à au moins une variante. Il peut ne pas être détecté, ce qui permet de récolter davantage de données privées et d'identifiants de connexion.

Inconvénients: il est possible que le logiciel malveillant ne fonctionne pas ou soit mis en quarantaine avant d'accéder aux données, aucune garantie que les données sont utiles.

Restez en sécurité : installez et mettez régulièrement à jour votre logiciel antivirus et antimalware . Considérez attentivement vos sources de téléchargement. Ne cliquez pas sur les packages d'installation contenant des bundleware et plus encore. Évitez les sites néfastes (je sais, plus facile à dire qu'à faire). Utilisez des outils de blocage de scripts pour arrêter les scripts malveillants.

7. Araignée

L'araignée est liée à l'attaque du dictionnaire que nous avons évoquée plus tôt. Si un pirate informatique cible une institution ou une entreprise spécifique, il peut essayer une série de mots de passe relatifs à l'entreprise elle-même. Le pirate pouvait lire et rassembler une série de termes connexes – ou utiliser une araignée de recherche pour faire le travail à leur place.

Vous avez peut-être déjà entendu le terme «araignée». Ces araignées de recherche sont extrêmement similaires à celles qui parcourent Internet, indexant le contenu pour les moteurs de recherche. La liste de mots personnalisée est ensuite utilisée contre les comptes d'utilisateurs dans l'espoir de trouver une correspondance.

Avantages: peut potentiellement déverrouiller des comptes pour des personnes de haut rang au sein d'une organisation. Relativement facile à assembler et ajoute une dimension supplémentaire à une attaque par dictionnaire.

Inconvénients: Cela pourrait très bien se révéler infructueux si la sécurité du réseau organisationnel est bien configurée.

Restez en sécurité en: Encore une fois, n'utilisez que des mots de passe forts et à usage unique composés de chaînes aléatoires – rien de lié à votre personnalité, votre entreprise, votre organisation, etc.

8. Surf à l'épaule

D'accord, la dernière option est l'une des plus basiques. Que faire si quelqu'un regarde simplement votre devrait pendant que vous saisissez votre mot de passe?

Le surf à l'épaule semble un peu ridicule, mais cela arrive. Si vous travaillez dans un café animé du centre-ville et que vous ne faites pas attention à votre environnement, quelqu'un pourrait se rapprocher suffisamment pour noter votre mot de passe pendant que vous tapez.

Avantages: approche à faible technologie pour voler un mot de passe.

Inconvénients: Doit identifier la cible avant de déterminer le mot de passe, pourrait se révéler en train de voler.

Restez en sécurité: restez attentif à votre entourage lorsque vous tapez votre mot de passe, couvrez votre clavier, masquez vos touches lors de la saisie.

Utilisez toujours un mot de passe fort, unique et à usage unique

Alors, comment empêcher un pirate de voler votre mot de passe? La réponse très courte est que vous ne pouvez pas vraiment être sûr à 100% . Les outils que les pirates utilisent pour voler vos données changent tout le temps. Mais vous pouvez atténuer votre exposition à la vulnérabilité.

Une chose est sûre: l'utilisation d'un mot de passe fort, unique et à usage unique ne fait jamais de mal à personne. Si vous voulez des outils pour créer des mots de passe et des phrases de passe forts , nous pouvons vous aider!