1st décembre 2020

7 façons dont les pirates volent vos mots de passe

Articles No comments

D’une manière ou d’une autre, les mots de passe sont toujours dans les nouvelles. Ils sont soit volés dans des violations de données, soit moqués pour être trop simples; ridiculisés comme inutiles, ou déplorés pour être technologiquement en retard. Peu importe l’opinion que chacun d’entre nous a sur les mots de passe, cependant, une chose est indiscutable: nous allons les utiliser aujourd’hui, Demain et dans un avenir prévisible., Contrairement aux technologies de reconnaissance tactile ou faciale, les mots de passe sont utilisés partout car ils sont peu coûteux à mettre en œuvre et simples à utiliser. Pour les utilisateurs finaux, ils sont aussi low-tech que la technologie de sécurité obtient jamais. Bien sûr, cette ubiquité et cette simplicité sont précisément ce qui rend les mots de passe attrayants pour les voleurs. Dans cet article, nous examinons comment les pirates volent nos mots de passe et ce que nous pouvons faire pour les arrêter.

Credential Stuffing

niveau de risque: élevé

on estime que des dizaines de millions de comptes sont testés quotidiennement par des pirates utilisant credential stuffing.,

Quel Est-Il?

credential stuffing, également connu sous le nom de nettoyage de liste et de relecture de violation, est un moyen de tester des bases de données ou des listes d’informations d’identification volées – c’est – à-dire des mots de passe et des noms d’utilisateur-sur plusieurs comptes pour voir s’il y a une correspondance.

comment ça marche?

Les Sites avec une mauvaise sécurité sont régulièrement violés, et les voleurs ciblent activement les informations d’identification des utilisateurs de ces sites afin qu’ils puissent les vendre sur le dark net ou les forums souterrains., Comme de nombreux utilisateurs utilisent le même mot de passe sur différents sites, les criminels ont statistiquement de bonnes chances de trouver que l’utilisateur a utilisé le même mot de passe sur . Les outils permettant d’automatiser le test d’une liste d’informations d’identification volées sur plusieurs sites permettent aux pirates de violer rapidement de nouveaux comptes, même sur des sites qui respectent la sécurité et l’hygiène des mots de passe.

Comment Pouvez-vous rester en sécurité?

la clé pour ne pas devenir une victime du bourrage d’informations d’identification est simple: chaque mot de passe pour chaque site doit être unique., Bien sûr, cela n’empêchera pas votre mot de passe d’être volé pour un compte sur un site avec une sécurité médiocre, mais cela signifie que tout compromis de vos informations d’identification ne vous affectera nulle part ailleurs sur internet. Si vous êtes haletant à l’idée de créer et de mémoriser des mots de passe uniques pour chaque site que vous utilisez, consultez notre section Conseils à la fin de la publication.

le Phishing

Niveau de Risque: Élevé

Plus de 70% de l’ensemble de la cybercriminalité commencer avec un phishing ou hameçonnage attaque., Les pirates aiment utiliser des techniques de phishing pour voler les informations d’identification des utilisateurs, soit pour leur propre usage, soit plus souvent pour vendre à des criminels sur le dark net.

Quel Est-Il?

le Phishing est une astuce d’ingénierie sociale qui tente d’inciter les utilisateurs à fournir leurs informations d’identification à ce qu’ils croient être une véritable demande d’un site ou d’un fournisseur légitime.

comment ça marche?

généralement, mais pas toujours, l’hameçonnage se produit par le biais d’e-mails contenant des liens frauduleux vers des sites Web clonés ou une pièce jointe malveillante., Quelque part le long de la chaîne d’événements qui commence avec l’utilisateur qui prend l’appât, les fraudeurs présenteront un faux formulaire de connexion pour voler le nom d’utilisateur et le mot de passe. Les fraudeurs utilisent aussi une certaine forme d’interception entre un utilisateur et un véritable page de connexion, comme un homme-dans-le-milieu-attaque pour voler les informations d’identification.

Comment Pouvez-vous rester en sécurité?

utilisez l’authentification à 2 facteurs ou à plusieurs facteurs. Bien que les chercheurs aient développé des astuces pour les surmonter, dans la nature, les cas ne sont pas encore signalés. La prudence est votre défense numéro un contre le phishing., Ignorez les demandes de connexion aux services à partir de liens de messagerie et accédez toujours directement au site du fournisseur dans votre navigateur. Vérifiez soigneusement les e-mails contenant des pièces jointes. La majorité des e-mails de phishing contiennent des fautes d’orthographe ou d’autres erreurs qui ne sont pas difficiles à trouver si vous prenez un moment pour inspecter attentivement le message.

pulvérisation de mots de passe

niveau de risque: élevé

on estime que peut-être 16% des attaques sur les mots de passe proviennent d’attaques par pulvérisation de mots de passe.

Quel Est-Il?,

Mot de passe de pulvérisation est une technique qui tente d’utiliser une liste de mots de passe fréquemment utilisés à l’encontre d’un nom de compte d’utilisateur, tels que le 123456, password123, 1qaz2wsx, letmein, batman et les autres.

comment ça marche?

un peu comme le bourrage d’informations d’identification, l’idée de base derrière la pulvérisation de mot de passe pour prendre une liste de comptes d’utilisateurs et les tester par rapport à une liste de mots de passe. La différence est qu’avec le bourrage d’informations d’identification, les mots de passe sont tous des mots de passe connus pour des utilisateurs particuliers., La pulvérisation de mot de passe est plus émoussée. Le fraudeur a une liste de noms d’utilisateur, mais aucune idée du mot de passe réel. Au lieu de cela, chaque nom d’utilisateur est testé par rapport à une liste des mots de passe les plus couramment utilisés. Cela peut être le top 5, 10 ou 100, selon le temps et les ressources dont dispose l’attaquant. La plupart des sites détectent les tentatives de mot de passe répétées à partir de la même adresse IP, de sorte que l’attaquant doit utiliser plusieurs adresses IP pour étendre le nombre de mots de passe qu’il peut essayer avant d’être détecté.

Comment Pouvez-vous rester en sécurité?

assurez-vous que votre mot de passe ne figure pas dans la liste des 100 mots de passe les plus couramment utilisés.,

Keylogging

niveau de risque: moyen

Le Keylogging est souvent une technique utilisée dans les attaques ciblées, dans laquelle le pirate connaît la victime (conjoint, collègue, parent) ou s’intéresse particulièrement à la victime (Espionnage d’entreprise ou d’État-nation).

Quel Est-Il?

Les enregistreurs de frappe enregistrent les traits que vous tapez sur le clavier et peuvent être un moyen particulièrement efficace d’obtenir des informations d’identification pour des comptes bancaires en ligne, des portefeuilles crypto et d’autres connexions avec des formulaires sécurisés.,

comment ça marche?

Le Keylogging est plus difficile à retirer que le bourrage D’informations d’identification, le Phishing et la pulvérisation de mots de passe, car il nécessite d’abord l’accès ou la compromission de la machine de la victime avec des logiciels malveillants de keylogging. Cela dit, il existe de nombreux kits de post-exploitation accessibles au public qui offrent aux attaquants des enregistreurs de frappe prêts à l’emploi, ainsi que des outils de logiciels espions commerciaux censés permettre la surveillance des parents ou des employés.

Comment Pouvez-vous rester en sécurité?

Vous devez exécuter une bonne solution de sécurité capable de détecter les infections et l’activité de keylogging., C’est l’un des rares types de techniques de vol de mot de passe où la force ou l’unicité de votre mot de passe ne fait vraiment aucune différence. Ce qui compte, c’est la façon dont votre point de terminaison est sécurisé contre l’infection, et si votre logiciel de sécurité peut également détecter une activité malveillante si le malware trouve un moyen au-delà de ses fonctionnalités de protection.

force Brute

niveau de risque: faible

étonnamment moins répandu que les gens ont tendance à le penser, le forçage Brutal des mots de passe est difficile, long et coûteux pour les criminels.

Quel Est-Il?,

c’est le genre de chose que les chercheurs en sécurité aiment écrire, ou que vous pourriez voir dans les émissions de télévision: un pirate informatique exécute un algorithme contre un mot de passe crypté et dans 3 2 2 1 1 the l’algorithme craque le mot de passe et le révèle en texte brut.

comment ça marche?

Il existe de nombreux outils comme « Aircrack-ng”, « John the Ripper” et « DaveGrohl” qui tentent de forcer brutalement les mots de passe. Il y a généralement deux types de fissuration disponibles. La première est une forme d’attaque « dictionnaire” – ainsi appelée parce que l’attaquant essaie simplement chaque mot du dictionnaire comme mot de passe., Des programmes comme ceux mentionnés ci-dessus peuvent parcourir et tester un dictionnaire entier en quelques secondes. L’autre type de technique est utilisé lorsque le pirate a (par le biais d’une violation de données) acquis le hachage du mot de passe en texte brut. Comme ceux-ci ne peuvent pas être inversés, le but est de hacher autant de mots de passe en texte brut que possible et d’essayer de trouver une correspondance. Il existe des tables arc-en-ciel qui répertorient les hachages des phrases de passe courantes pour accélérer ce processus.,

l’une des raisons pour lesquelles le craquage de mots de passe n’est pas une technique aussi viable que certaines des autres que nous avons mentionnées est que les mots de passe cryptés utilisent généralement un sel. Il s’agit de données aléatoires utilisées dans le processus de cryptage qui garantissent qu’aucun mot de passe en texte brut ne produira le même hachage. Cependant, les erreurs commises par les administrateurs du site lors de l’utilisation ou du stockage de sels et de mots de passe peuvent permettre de déchiffrer certains mots de passe cryptés.

Comment Pouvez-vous rester en sécurité?

la clé pour rester à l’abri des attaques par force brute est de vous assurer d’utiliser des mots de passe de longueur suffisante., Tout 16 caractères ou plus devrait être suffisant compte tenu de la technologie actuelle, mais idéalement vous-même à l’épreuve du futur en utilisant une phrase secrète aussi longue que le maximum autorisé par le service auquel vous vous inscrivez. Évitez d’utiliser un service qui ne vous permet pas de créer un mot de passe de plus de 8 ou 10 caractères. Inquiet de savoir comment vous vous souviendriez d’un mot de passe super long? Voir les Conseils de l’article ci-dessous.,

découverte locale

niveau de risque: faible

principalement une technique qui ne serait utilisée que dans une attaque ciblée, soit par une connaissance connue, un parent, un collègue ou les forces de l’ordre.

Quel Est-Il?

la découverte locale se produit lorsque vous écrivez ou utilisez votre mot de passe quelque part où il peut être vu en texte brut. L’attaquant trouve le mot de passe et l’utilise, souvent sans que vous sachiez que le mot de passe a été divulgué.

comment ça marche?,

Vous avez vu ces films où les flics fouillent les poubelles du méchant pour trouver des indices sur ce qu’il a fait? Oui, dumpster diving est un moyen valable d’obtenir un mot de passe grâce à la découverte locale. Avez-vous une note Post-It sur le moniteur, ou un journal dans le tiroir du bureau avec vos informations D’identification Paypal? Il existe cependant des moyens plus secrets de découverte locale, y compris renifler les communications bluetooth ou trouver des mots de passe en texte brut dans les journaux ou les URL. Le Shoulder-surfing n’est pas inconnu non plus., Cela peut être n’importe quoi d’un collègue qui traîne subrepticement derrière votre bureau lorsque vous vous connectez, à la vidéosurveillance dans les cafés et autres espaces publics qui pourraient capturer des vidéos des utilisateurs lorsqu’ils tapent leurs identifiants de connexion sur un site web sur leurs ordinateurs portables.

Comment Pouvez-vous rester en sécurité?

Il n’est pas nécessaire d’être paranoïaque, mais faites preuve de prudence. Bien que le risque soit faible en général, si vous vous faites le fruit du hasard en laissant des enregistrements facilement détectables de votre mot de passe traîner, ne soyez pas surpris si quelqu’un en profite.,

l’Extorsion de fonds

Niveau de Risque: Faible

Probablement le plus bas sur l’échelle du risque, mais pas inconnue.

Quel Est-Il?

Quelqu’un vous demande de lui donner vos identifiants. Aucun subtefuge impliqué. L’affaire est que vous abandonnez votre mot de passe ou ils font quelque chose que vous n’aimerez pas.

comment ça marche?

technique de chantage simple qui dépend de la nature de la relation entre l’attaquant et la cible., Quelqu’un peut exiger votre mot de passe s’il a les moyens de vous nuire ou de vous embarrasser si vous ne vous conformez pas, par exemple en révélant des informations sensibles, des images ou des vidéos vous concernant, ou en menaçant votre sécurité physique ou celle de vos proches. Les logiciels malveillants RAT qui permettent aux pirates de vous espionner via une caméra web ou vidéo peuvent vous exposer à ce type d’extorsion.

Comment Pouvez-Vous Rester en Sécurité?

comme les victimes de ransomware découvrent sur une base presque quotidienne, il n’y a pas de Livre de règles sur la façon de traiter les demandes d’extorsion., C’est un compromis entre la valeur de ce qu’ils veulent et la valeur du mal qu’ils pourraient faire. Sachez que dans certaines juridictions et dans certaines circonstances, céder à une demande d’extorsion pourrait vous rendre passible de poursuites en vertu de la loi.

les mots de passe comptent-ils?

certains pensent que non, mais oui ils le font. Les mots de passe forts vous protégeront des techniques telles que la pulvérisation de mots de passe et les attaques par force brute, tandis que les mots de passe uniques vous protégeront du bourrage des informations d’identification, garantissant que les dommages causés par une fuite sur un site ne vous affecteront pas négativement ailleurs.,

conseils pour créer des mots de passe forts et uniques

l’une des principales raisons pour lesquelles le bourrage d’informations d’identification et la pulvérisation de mots de passe sont si réussis est que les gens n’aiment pas créer et se souvenir de mots de passe complexes. La bonne nouvelle – qui ne devrait vraiment pas être une nouvelle comme cela est vrai depuis un certain temps – est que les gestionnaires de mots de passe vous feront économiser de l’effort. Ceux-ci sont facilement disponibles et certains navigateurs ont même des suggestions de mot de passe intégrées. Bien sûr, il est vrai que ceux-ci ne sont pas infaillibles., Ils s’appuient généralement sur un mot de passe principal qui, s’il est compromis, expose tous les œufs dans votre panier unique. Cependant, les chances d’être victime d’un vol de mot de passe si vous utilisez un gestionnaire de mots de passe sont nettement plus faibles que si vous ne le faites pas. nous suggérons que les avantages des gestionnaires de mots de passe l’emportent énormément sur les risques, et nous les recommandons fortement comme pratique de base de la sécurité 101.

Conclusion

Les mots de passe ne disparaissent pas de sitôt, et il y a même de bons arguments pour suggérer qu’ils ne devraient pas., Bien que les données biométriques, la numérisation du visage et des empreintes digitales jouent tous un rôle dans la sécurisation de l’accès aux services, la beauté d’un mot de passe est que c’est le « quelque chose que vous savez” et non le « quelque chose que vous avez”. Ce dernier peut vous être retiré, dans certains cas légalement, mais le premier ne le peut pas, tant que vous vous assurez qu’il est suffisamment complexe, unique et secret. Combinez cela avec l’authentification à deux facteurs ou à plusieurs facteurs et vos chances de subir une perte de données par piratage de mot de passe sont à la fois extrêmement faibles et-ce qui est important-très limitées., Si un site non sécurisé fuit vos informations d’identification, vous pouvez être sûr que cela ne vous affectera pas au-delà de ce service particulier.

vous Aimez cet article? Suivez-nous sur LinkedIn, Twitter, YouTube ou Facebook pour voir le contenu que nous publions.

en savoir plus sur la cybersécurité

  • QU’est-ce QU’OSINT? (Et Comment Est-Il Utilisé?)
  • praticiens de la sécurité! 5 façons de faire entendre vos besoins à votre patron
  • 11 mauvaises habitudes qui détruisent vos Efforts de cybersécurité
  • Qu’est-ce que la chasse aux menaces? (Et Est-Il Vraiment Nécessaire?)
  • Cacher le Code à L’intérieur des Images: comment les logiciels malveillants utilisent la stéganographie

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *