Pour construire une défense plus solide, vous devez penser comme un pirate informatique et anticiper ses actions.
Lisez la suite pour en savoir plus sur les stratégies des pirates utilisées pour déchiffrer les mots de passe, les vulnérabilités qu’ils exploitent et la manière dont vous pouvez renforcer vos défenses pour les tenir à distance.
L’analyse des plus mauvais mots de passe
Les mots de passe faibles et couramment utilisés représentent les cibles les plus évidentes pour les pirates. Chaque année, des experts fournissent des listes de mots de passe les plus fréquemment utilisés, avec des classiques comme « 123456 » et « password » que l’on retrouve tous les ans. Ces mots de passe représentent le niveau zéro de la stratégie d’attaque d’un pirate informatique. Malgré des années d’avertissements en matière de sécurité, les gens continuent à utiliser des mots de passe simples et faciles à retenir, souvent basés sur des modèles prévisibles ou des détails personnels que les pirates peuvent rapidement glaner sur les réseaux sociaux ou les registres publics.
Les pirates informatiques compilent des bases de données de ces mots de passe courants et les utilisent dans des attaques par force brute, parcourant les combinaisons de mots de passe probables jusqu’à ce qu’ils trouvent la bonne.
Pour un pirate informatique, les plus mauvais mots de passe offrent les meilleures opportunités. Qu’il s’agisse d’une suite de clavier comme « qwerty », ou une expression courante comme « iloveyou », la simplicité de ces mots de passe offre aux pirates un boulevard vers vos comptes, en particulier lorsque l’authentification multifacteurs n’est pas mise en place.
Combien de temps faut-il pour déchiffrer un mot de passe ?
Le temps nécessaire pour déchiffrer un mot de passe dépend en grande partie de trois facteurs :
- La longueur et la force du mot de passe
- Les méthodes utilisées pour le décrypter
- Les outils utilisés par le pirate
Les pirates savent déchiffrer les mots de passe courts et simples – en particulier ceux qui n’utilisent que des lettres minuscules ou des chiffres – en quelques secondes à l’aide d’outils modernes de déchiffrement de mots de passe. Mais les mots de passe plus complexes, comme ceux qui intègrent différents types de caractères (lettres majuscules et minuscules, symboles et chiffres par exemple) sont beaucoup plus difficiles à décrypter et cela nécessite beaucoup plus de temps.
Les attaques par force brute et par dictionnaire sont deux des méthodes de piratage de mots de passe les plus populaires.
- Dans une attaque par force brute, les pirates utilisent des outils pour essayer méthodiquement toutes les combinaisons de mots de passe possibles, ce qui signifie qu’un mot de passe faible de sept caractères peut être craqué en quelques minutes seulement, alors qu’un mot de passe plus complexe de 16 caractères comprenant des symboles et des chiffres peut demander des mois, des années, voire plus, avant d’être craqué.
- Dans les attaques par dictionnaire , les pirates utilisent une liste prédéfinie de mots communs ou de mots de passe pour deviner la bonne combinaison, ce qui rend cette méthode particulièrement efficace contre les mots de passe simples ou fréquemment utilisés.
Vous souhaitez savoir combien de vos utilisateurs finaux utilisent des mots de passe faibles ou compromis ? Specops Password Auditor utilise les mêmes critères que les pirates pour identifier les mots de passe faibles, réutilisés ou compromis au sein de votre Active Directory. Téléchargez votre outil gratuit en lecture seule dès aujourd’hui.
Gestion des risques liés aux mots de passe
Quel est le plus grand risque concernant la sécurité des mots de passe dans votre organisation ? La nature humaine. La tendance humaine à réutiliser les mots de passe d’un compte à l’autre, ou à utiliser des mots de passe faibles ou faciles à retenir, donne aux pirates un avantage considérable. Une fois qu’un pirate a trouvé le mot de passe d’un compte, il essaie souvent d’utiliser ce même mot de passe pour d’autres services, une tactique appelée « credential stuffing ». Que se passe-t-il si les utilisateurs ont réutilisé le mot de passe sur plusieurs sites ? Ils donnent alors aux pirates informatiques les clés de leur vie numérique.
Afin de prévenir ce risque, votre organisation doit promouvoir une bonne hygiène des mots de passe. Exigez des utilisateurs qu’ils mettent régulièrement à jour leurs mots de passe et qu’ils évitent de les réutiliser sur d’autres sites ou comptes. Mais il faut aller plus loin que l’éducation des utilisateurs ; mettez en œuvre des mesures de protection du système, comme des seuils de verrouillage, qui limitent le nombre de tentatives de connexion infructueuses.
En parallèle, mettez en place une authentification multifacteurs pour les utilisateurs et déployez des politiques de mots de passe fortes qui imposent longueur, complexité et des intervalles de modification du mot de passe.
Passphrases et vérification de l’identité
Les pirates informatiques et leurs outils étant de plus en plus sophistiqués, les organisations sont obligées de repenser la structure des mots de passe. Entrez dans l’ère des phrases de passe, une combinaison de mots sans rapport entre eux, facilement mémorisables pour les utilisateurs mais difficiles à deviner pour les pirates. Par exemple, une phrase secrète telle que « shelf llama shoe bell » est beaucoup plus sûre qu’un mot de passe court composé de chiffres et de lettres aléatoires, mais elle est également plus facile à mémoriser pour les utilisateurs.
La longueur de la passphrase (souvent 16 caractères ou plus), combinée à l’imprévisibilité de la combinaison de mots, rend beaucoup plus incertaine la réussite des attaques par force brute ou par dictionnaire. Vous trouverez ici plus de conseils pour aider les utilisateurs finaux à créer des passphrases.
Envisagez également de mettre en œuvre des mesures de vérification de l’identité pour ajouter un niveau de sécurité supplémentaire. Exiger des utilisateurs qu’ils vérifient leur identité par e-mail ou par SMS garantit que même si les pirates informatiques compromettent un mot de passe, ils ne peuvent pas accéder au compte sans franchir l’étape de vérification secondaire.
Penser comme un hacker pour se défendre comme un pro
En pensant comme un hacker, vous pouvez mieux comprendre comment lui rendre la tâche plus difficile. Les pirates informatiques prospèrent grâce à des mots de passe faibles et réutilisés et à des modèles prévisibles, exploitant les utilisateurs qui ignorent les bonnes pratiques en matière de mots de passe ou n’activent pas l’authentification multifacteurs.
Pour se défendre efficacement contre ces attaques, votre organisation doit combler ses lacunes. Encouragez vos utilisateurs à mettre en place des passphrases complexes et uniques que les pirates auront du mal à deviner. Mettre en œuvre des méthodes de vérification de l’identité pour assurer un niveau de sécurité supplémentaire. Tirez parti d’outils de pointe pour vous aider à mettre en œuvre les meilleures pratiques en matière de sécurité des mots de passe.
Des politiques de sécurité solides sont la base d’une protection forte des mots de passe – et Specops Password Policy vous aide à appliquer ces politiques en fournissant une solution personnalisable pour renforcer les exigences de votre organisation en matière de mots de passe et analyser continuellement votre Active Directory pour y détecter les mots de passe compromis. Contactez– nous pour savoir comment Specops Password Policy pourrait s’adapter à votre organisation.