Comment les pirates piratent-ils les mots de passe ?
Vous avez probablement entendu parler du piratage de mots de passe dans des films et des émissions de télévision, mais beaucoup de gens ne savent pas ce que le processus implique réellement. Dans cet article, nous approfondirons et couvrirons toutes les différentes manières dont les mots de passe peuvent être piratés, certaines attaques similaires entraînant le vol de mots de passe, la manière dont les mots de passe volés peuvent causer des dommages et les mesures de protection que les utilisateurs et les développeurs peuvent adopter. afin de conserver leurs mots de passe en sécurité.
De toute façon, à quoi servent les mots de passe ?
Cela peut sembler une question évidente, mais vous n’avez peut-être jamais pensé au rôle que jouent réellement les mots de passe dans votre sécurité globale. En bref, ils fournissent une authentification . Ce ne sont essentiellement que des secrets que seules les personnes autorisées devraient connaître. Les contrôles de sécurité supposent que si vous connaissez le secret, vous êtes alors autorisé à entrer.
Outre les noms d'utilisateur, la transmission d'un mot de passe est essentiellement une manière abrégée de dire : « Oui, c'est moi. Nous avons précédemment convenu que je suis autorisé à accéder à cet ensemble spécifique de ressources et de données, alors laissez-moi entrer. Bien que cela soit bien plus pratique que de montrer votre identifiant à quelqu'un à chaque fois que vous souhaitez vous connecter à votre messagerie, cela peut causer des problèmes. Que se passe-t-il si quelqu'un d'autre obtient votre mot de passe ?
Si les secrets de votre vie en ligne sont gardés par une forteresse de mécanismes de sécurité, vous pouvez considérer les contrôles par mot de passe comme un gardien. Le portier laisse entrer n’importe qui à condition qu’il connaisse le mot de passe. Les tourelles, les murs, les douves, le pont-levis : ils ne peuvent vous protéger que si le portier et le mot de passe empêchent les méchants d'entrer.
Si un attaquant parvient à trouver le mot de passe et à le communiquer au portier, celui-ci le laissera entrer. Tous les contrôles de sécurité perdent soudainement leur sens et l'attaquant aura accès à tout ce à quoi vous pouvez accéder. . Contrôle du compte, des informations privées, des messages, des données financières : ils peuvent même changer eux-mêmes le mot de passe. Tout cela peut facilement tomber entre les mains d’un attaquant s’il parvient à déchiffrer ou à comprendre le mot de passe.
La sécurité de votre royaume en ligne repose sur l’hypothèse que les pirates ne seront pas en mesure de comprendre vos mots de passe. Si cette hypothèse n’est pas vérifiée, tout s’envole en fumée.
Avant d'aller trop loin, nous voulons que vous vous assuriez que vous l'avez déjà mots de passe forts et uniques pour chacun de vos comptes . Si vous ne disposez pas déjà de mots de passe longs et complexes pour toutes vos connexions importantes, accédez à l'article lié, procurez-vous un gestionnaire de mots de passe et configurez les mots de passe maintenant. Bien qu'il soit important de se renseigner sur le forçage brutal, les attaques par dictionnaire et toutes les autres techniques de piratage, vous pouvez le faire après avoir fait les premiers pas pour renforcer votre sécurité en ligne.
Pourquoi les mots de passe sont-ils piratés ?
Comme vous l'avez probablement deviné, le piratage du mot de passe est effectué pour accéder à un compte . L’une des raisons les plus courantes est qu’un attaquant souhaite accéder à des ressources ou à des informations auxquelles il n’est pas autorisé à toucher. Ce sera l’objet principal de notre article, et nous en discuterons les résultats possibles dans la section suivante.
Cependant, il existe également des raisons plus légitimes de déchiffrer les mots de passe. Un exemple est celui des forces de l’ordre qui tentent d’accéder aux données d’un criminel qui refuse de communiquer son mot de passe. S'ils pensent pouvoir accéder à des informations qui les aideront à résoudre une affaire ou à fermer une organisation criminelle, cela peut valoir la peine pour eux de s'efforcer de déchiffrer un mot de passe.
Une autre raison légitime de piratage de mot de passe est lorsque les administrateurs réseau ou les testeurs d'intrusion souhaitent évaluer la force des mots de passe sur leurs systèmes . Parfois, ils tenteront de déchiffrer tous les mots de passe utilisés au sein de l’organisation. S’ils parviennent à déchiffrer l’un des mots de passe, il s’ensuit que les attaquants pourront également les déchiffrer. Si l'administrateur ou le testeur de stylet réussit, ils peuvent alors informer la personne responsable du degré de sécurité et de facilité de rupture de leur mot de passe, puis leur donner des conseils pour créer un mot de passe plus sûr.
Le craquage de mot de passe peut également être une option si un utilisateur oublie son mot de passe et que la récupération du mot de passe échoue ou est indisponible . Cependant, comme le piratage de mots de passe peut prendre beaucoup de temps et de ressources, cela n'est généralement pratique que si l'utilisateur dispose d'un mot de passe faible ou si les données qui ont été verrouillées sont extrêmement précieuses (pensez aux portefeuilles Bitcoin). Dans d’autres circonstances, il peut être difficile de justifier les efforts nécessaires au piratage des mots de passe.
Que peut-il se passer si un pirate pirate pirate vos mots de passe ?
Si un attaquant parvient à déchiffrer votre mot de passe, cela lui donne accès à tout ce à quoi vous pouvez normalement accéder. Ils peuvent voler vos informations personnelles, vos informations d'assurance, vos données de santé, vos détails de paiement et plus encore . Ils peuvent vendre ces informations sur les marchés du darknet ou les utiliser eux-mêmes pour intensifier leur attaque ou tenter de récolter des récompenses financières.
Cela peut conduire à des choses comme une fraude à la carte de crédit, une fraude à l'assurance ou même un vol d'identité, ce qui peut avoir d'énormes conséquences à long terme et coûteuses pour vous.
Les pirates peuvent prendre complètement le contrôle de votre compte et effectuer toutes les actions que vous pouvez effectuer. Les conséquences dépendront du type de comptes, mais elles peuvent inclure :
- Se faire passer pour vous
- Publication d'informations privées
- Essayer d'infecter vos contacts avec des logiciels malveillants
- Transférer de l'argent sur leurs propres comptes
- Supprimer vos fichiers
- Crypter vos fichiers et demander une rançon
- Tentative d'élever les privilèges pour accéder à d'autres ressources
Dans le cas de comptes payants comme Netflix, Spotify et les VPN, ils peuvent même vendre votre compte sur le darknet. Les gens achètent ces informations d’identification afin de pouvoir accéder aux services à un tarif bien inférieur.
Ces possibilités dont nous avons discuté sont loin d’être exhaustives. Comme vous pouvez le constater, d’énormes dégâts peuvent survenir lorsqu’un attaquant déchiffre un mot de passe. C’est pourquoi il est si essentiel que les fournisseurs de services configurent en toute sécurité leur infrastructure de mots de passe et que les utilisateurs ne créent que des mots de passe sécurisés.
Alternatives au craquage de mot de passe
La plupart du temps, les pirates ne prennent pas la peine de déchiffrer les mots de passe. Déchiffrer un bon mot de passe peut être un processus difficile et long, c'est pourquoi ils ont souvent recours à d'autres techniques. Voici quelques-unes des options les plus courantes :
Phishing et autres formes d'ingénierie sociale
Vous savez ce qui est plus simple que de déchiffrer un mot de passe ? Le demander à quelqu'un.
Phishing Fraude Voler Cybersécurité Crime Piratage par MaxPixel sous licence CC0.
L'une des techniques les plus courantes pour obtenir des mots de passe consiste simplement à tromper la victime pour qu'elle le remette. . Cela est particulièrement vrai lorsque des individus ou des organisations spécifiques sont ciblés. Plutôt que d’essayer de s’introduire par la force, les attaquants peuvent simplement recourir à l’ingénierie sociale.
A titre d'exemple, ils pourraient envoyer un e-mail de phishing qui renvoie à une fausse page de connexion pour la banque de la cible. Tout ce qu’ils ont à faire est d’envoyer quelque chose du genre suivant dans un e-mail d’apparence officielle :
Cher Monsieur/Madame,
Nous avons le regret de vous informer que nous avons détecté une activité suspecte et que le mot de passe de votre compte bancaire peut être compromis. Veuillez vous rendre à l'URL suivante, saisir vos anciennes informations de connexion, puis modifier votre mot de passe :
www.fakebank.com/login
Lorsque les gens reçoivent un message comme celui-ci, ils réagissent souvent sans réfléchir. Après tout, c’est une urgence, et leur argent est en jeu ! Ils peuvent tomber dans le piège de l’attaquant et accéder au faux site Web et saisir leur mot de passe, l’envoyant directement entre les mains de l’attaquant. Peu importe que l’intégralité de l’e-mail soit fausse et que l’attaquant n’ait jamais eu son e-mail au départ. Une fois que la victime l'a saisi sur la fausse page de connexion, l'attaquant dispose des informations de connexion dont il a besoin pour provoquer toutes sortes de chaos.
Le phishing et d'autres types d'ingénierie sociale permettent aux attaquants d'obtenir facilement les mots de passe qu'ils souhaitent. Au lieu d’essayer des milliards de combinaisons, ils peuvent obtenir le mot de passe en quelques minutes. Tout ce qu’il faut, c’est un peu d’escroquerie.
Logiciel malveillant
Une autre option pour voler des mots de passe consiste à infecter les cibles avec malware . De nombreuses souches de logiciels malveillants peuvent enregistrer des clés, accéder au presse-papiers et détecter des paquets réseau, ce qui peut tous envoyer des mots de passe à un serveur contrôlé par un attaquant. Encore une fois, cela peut être beaucoup plus simple que de forcer brutalement un mot de passe.
Menaces internes
Les attaquants peuvent également se tourner vers les employés mécontents d'une organisation ciblée et convaincre ces travailleurs de leur donner leurs identifiants de connexion . Ils pourraient également simplement soudoyer les employés pour qu'ils leur remettent leurs propres mots de passe, ceux de leurs collègues ou la base de données de mots de passe. Ceux-ci sont connus sous le nom menaces internes et ils représentent un énorme défi pour les organisations. Ces employés ont évidemment besoin de leurs identifiants de connexion pour accomplir leur travail, mais s'ils peuvent être convaincus de donner leurs mots de passe à un attaquant, celui-ci pourra accéder à toutes les ressources dont dispose l'employé.
échange de Sim
Lorsqu'un compte est protégé par authentification SMS, l'attaquant n'a peut-être même pas besoin du mot de passe. Plutôt, ils peuvent effectuer ce qu'on appelle un attaque par échange de carte SIM . En gros, tout ce qu’ils ont à faire est d’appeler la compagnie de téléphone et de se faire passer pour vous. Ils informent l'opérateur que vous changez de carte SIM, lui transmettent quelques données personnelles, puis convainquent l'opérateur de transférer votre ancien numéro de téléphone vers la nouvelle carte SIM.
Cela signifie que l'attaquant obtiendra désormais tous les messages entrants, y compris vos messages d'authentification à deux facteurs. Ils peuvent alors simplement demander la réinitialisation du mot de passe d'un compte, intercepter le code d'authentification, puis changer le mot de passe comme bon leur semble. . Lorsque l’authentification SMS protège un compte, il peut être aussi simple pour un attaquant d’en prendre le contrôle, le tout sans jamais avoir besoin de votre mot de passe.
Violations de données
Les pirates ciblent souvent les entreprises pour tenter de voler des données précieuses sur leurs serveurs. Parmi leurs cibles figurent les bases de données de mots de passe, qui peuvent leur donner accès à tous les comptes utilisateurs. De nos jours, il est relativement rare que les mots de passe soient stockés sous forme de texte brut, mais s’ils le sont, cela rend la vie d’un pirate informatique incroyablement facile. La plupart du temps, seuls les hachages de mots de passe sont stockés, que les pirates doivent encore déchiffrer. Nous en discutons plus en profondeur plus loin dans l’article.
Surf sur l'épaule
Le surf sur l'épaule et les techniques associées impliquent qu'un proche découvre votre mot de passe. Il s’agit peut-être d’un collègue, d’un membre de la famille, d’une connaissance ou de quelqu’un que vous pensiez être votre ami. Ils peuvent soit regarder par-dessus votre épaule pendant que vous saisissez votre mot de passe, soit si vous stockez vos mots de passe de manière non sécurisée, ils pourront peut-être les trouver. . C'est pourquoi vous ne devez jamais conserver votre mot de passe sur un Post-It sur votre moniteur ou dans un fichier facilement accessible sur votre ordinateur. En fin de compte, cela pourrait amener un attaquant à voler votre mot de passe et à accéder à vos comptes.
Comment les pirates piratent-ils vos mots de passe ?
Si aucune des options ci-dessus ne convient, un attaquant peut décider que le meilleur choix est d'opter pour une forme de piratage de mot de passe.
Cependant, les détails de la manière dont ils s'y prennent, les techniques qu'ils emploient, les chances de succès et le temps que cela peut prendre dépendront d'un large éventail de facteurs. Nous discuterons en détail de chacun des différents types de piratage de mot de passe plus loin dans l’article.
D'abord, donnons un aperçu rapide de certaines des variables et de la manière dont elles peuvent influencer les chemins empruntés par les attaquants. . Vous rencontrerez quelques termes que nous n’avons pas encore introduits, mais ne vous inquiétez pas, nous les aborderons en détail plus tard. Ces variables comprennent :
Les informations auxquelles le pirate informatique a déjà accès
- L'attaquant dispose-t-il de noms d'utilisateur et de mots de passe correspondants en texte clair ? Si tel est le cas, ils peuvent saisir directement ces informations de connexion dans le système ciblé et accéder aux comptes.
- L’attaquant dispose-t-il des hachages de mot de passe des comptes qu’il tente de cibler ? Si tel est le cas, ils peuvent soit rechercher le hachage dans une table arc-en-ciel, soit calculer des combinaisons de mot de passe et de hachage jusqu'à ce qu'ils trouvent une correspondance. S’ils réussissent, ils peuvent alors utiliser le mot de passe pour se connecter.
- L'attaquant dispose-t-il d'une liste de noms d'utilisateur mais pas de mots de passe ? Si tel est le cas, ils devront essayer des mots de passe courants contre le système lors d’une attaque par pulvérisation de mots de passe.
- L'attaquant dispose-t-il de noms d'utilisateur et de mots de passe ou de hachages de mots de passe pour les comptes d'un seul fournisseur de services ? Si tel est le cas, ils peuvent essayer d’utiliser ces mêmes informations de connexion contre d’autres fournisseurs de services dans le cadre d’une attaque de credential stuffing.
Les mécanismes de sécurité en place
Si un attaquant ne dispose pas des hachages de mot de passe, il devra tester le mot de passe par rapport aux contrôles de sécurité. Ceux-ci peuvent inclure :
- Restrictions de connexion — Un nombre limité de tentatives de connexion peut être autorisé avant que le compte ne soit verrouillé. Ce verrouillage peut être pour une période déterminée ou jusqu'à ce qu'une vérification plus approfondie soit effectuée.
- CAPTCHA – Ceux-ci peuvent soit empêcher l'attaquant d'automatiser ses tentatives, soit les ralentir considérablement.
- Authentification à deux facteurs — Lorsque l'authentification à deux facteurs est également en place, le mot de passe ne sera pas suffisant pour que l'attaquant puisse y accéder. Ils auront également besoin du code d’une application, d’un SMS ou d’un token pour pouvoir se connecter avec succès.
Si ces contrôles de sécurité sont en place, ils peuvent limiter l’attaquant aux attaques par pulvérisation de mots de passe.
La cible
Les techniques dont dispose un attaquant peuvent varier selon que l'attaquant cible un individu ou une organisation spécifique. , ou si leur objectif principal est des récompenses financières de la part de victimes potentielles :
- Le credential stuffing ne fonctionnera contre un individu que si celui-ci utilise le même nom d’utilisateur et le même mot de passe sur plusieurs comptes.
- Le credential stuffing ne fonctionnera contre une organisation que si certains de ses employés utilisent les mêmes noms d’utilisateur et mots de passe sur plusieurs comptes.
- Le credential stuffing peut être efficace s’il n’y a pas de cibles particulières. Les attaquants peuvent simplement parcourir la base de données violée de noms d’utilisateur et de mots de passe, puis essayer chacun d’eux avec un groupe d’autres comptes courants. Si l'utilisateur utilise les mêmes informations de connexion sur plusieurs comptes, les attaquants obtiendront une correspondance et pourront accéder aux autres comptes. Si l’attaquant ne dispose que de hachages de mot de passe, cela complique le credential stuffing, mais ne le rend pas impossible.
- La pulvérisation de mots de passe ne fonctionnera contre une organisation que si certains de ses employés utilisent des mots de passe simples ou courants.
- La pulvérisation de mots de passe peut être efficace s’il n’y a pas de cibles particulières. Les attaquants peuvent parcourir une liste de noms d’utilisateur et tenter de déverrouiller les comptes avec une liste des mots de passe les plus courants. Même s’ils sont généralement limités par le nombre de tentatives qu’ils peuvent effectuer simultanément, lorsqu’ils ciblent des dizaines de milliers ou des centaines de milliers d’utilisateurs à la fois, ils peuvent toujours trouver des correspondances au fil du temps.
- Si les pirates disposent d’une base de données de mots de passe hachés et qu’il n’y a pas de cibles particulières, ils peuvent tenter de trouver les mots de passe de n’importe qui dans la base de données. S’ils réussissent, ils pourront peut-être accéder à leurs comptes.
Quelle est la complexité du mot de passe :
- Si le mot de passe est simple ou couramment utilisé, la pulvérisation de mot de passe peut être efficace.
- Si l'attaquant dispose du hachage du mot de passe et que le mot de passe est simple et couramment utilisé, un attaquant peut déjà avoir le mot de passe dans sa table arc-en-ciel. Si tel est le cas, l'attaquant peut essayer ce mot de passe contre les contrôles de sécurité du compte.
- Si l’attaquant dispose du hachage du mot de passe et que celui-ci est compliqué ou moins courant, le pirate devra peut-être tenter de le calculer lui-même. Cela peut prendre du temps et des ressources, et il n’y a aucune garantie que cela fonctionnera. Cependant, si l’attaquant parvient à trouver une correspondance, il peut alors essayer le mot de passe correspondant auprès des systèmes de sécurité.
Complexité du mot de passe et facilité de déchiffrage d'un mot de passe
Il est courant de penser que la sécurité d’un mot de passe dépend uniquement de sa longueur et de l’utilisation ou non de caractères spéciaux et de combinaisons de casse. Un mot de passe plus long nécessite plus de suppositions, et les caractères spéciaux peuvent rendre le mot de passe encore plus difficile à deviner. Bien que ceux-ci puissent jouer un rôle important, le caractère aléatoire du mot de passe est également crucial.
En effet, le piratage de mots de passe n’implique généralement que de deviner toutes les combinaisons possibles en dernier recours – il est tout simplement trop inefficace de s’y tourner au début. La réalité est qu’en tant qu’humains, nous sommes des créatures relativement prévisibles et nous avons tendance à utiliser des modèles similaires dans nos mots de passe. Si vous souhaitez trouver un mot de passe aussi rapidement et facilement que possible, il est logique de concentrer vos tentatives sur ces modèles. Cette approche est connue sous le nom d'attaque par dictionnaire, que nous aborderons plus en détail dans le Cracker des mots de passe avec des attaques par dictionnaire section.
Démontrons ce concept en devinant votre propre mot de passe : si votre mot de passe utilise des chiffres, sont-ils soit exclusivement à la fin du mot de passe, soit en remplaçant certaines lettres comme en leetspeak (en utilisant 5 au lieu de S, etc.) ?
Un groupe de lecteurs acquiesce probablement, car nous sommes nombreux à suivre ce genre de modèles prévisibles.
Puisque nous avons tendance à fonctionner selon des modèles, les attaquants perdraient leur temps s'ils examinaient systématiquement toutes les combinaisons de mots de passe possibles . Il est bien plus logique qu’ils examinent d’abord les mots de passe les plus courants et les modèles les plus probables, et qu’ils n’analysent systématiquement chaque combinaison que si ces tentatives échouent.
Cette réalité a d’énormes conséquences sur la manière dont nous choisissons nos mots de passe et sur leur sécurité réelle contre les attaques.
Votre mot de passe est-il vraiment aussi aléatoire que vous le pensez ?
Le fait est que nous pouvons penser que quelque chose comme Y4nk335w1!!w1n est un mot de passe totalement aléatoire et difficile à deviner, alors qu’il ne l’est pas vraiment. D’une part, il s’agit d’une phrase anglaise grammaticalement correcte (les Yankees gagneront), avec un tas de substitutions qui sont en fait très courantes et bien connues des pirates.
Quand on pense à toutes les combinaisons de caractères possibles, seule une infime fraction se rapproche d’une phrase anglaise grammaticalement correcte. Si un pirate informatique choisit de commencer ses suppositions en recherchant des combinaisons grammaticalement correctes, il a déjà considérablement réduit son champ de recherche, ce qui pourrait considérablement accélérer le temps nécessaire pour trouver le mot de passe correct.
En plus du fait que ce mot de passe est à peu près grammaticalement correct, si le pirate sait que la cible est de New York ou un fan des Yankees, il peut ajouter ce type de détails dans son programme de piratage de mot de passe pour accélérer encore plus la recherche. Ils le font via des listes de mots, dont nous discuterons dans le Cracker des mots de passe avec des listes de mots personnalisées section.
Même si Y4nk335w1!!w1n comporte 14 caractères, il est loin d'être aussi sécurisé qu'un mot de passe équivalent généré aléatoirement, tel que HwUzNfKpUnf4e5 . Le GarderPass Le générateur de mot de passe indique que ce nouveau mot de passe a 76 bits d'entropie, ce qui est probablement bien plus que le mot de passe des Yankees, ce qui rend beaucoup plus improbable qu'un pirate informatique puisse le comprendre.
Le principal point à retenir est que la force d’un mot de passe dépend à la fois de sa longueur et de son caractère aléatoire, et que les gens sont assez incapables d’ajouter du caractère aléatoire à leurs mots de passe, ce qui facilite grandement le travail d’un pirate informatique. Nous verrons comment vous pouvez facilement implémenter des mots de passe plus aléatoires dans le Pour les utilisateurs section vers le bas de l’article.
Techniques de piratage de mots de passe
Nous avons déjà brièvement évoqué la plupart de ces techniques. Il est maintenant temps de vous donner un aperçu complet :
Tentative d'un mot de passe connu sur un système de connexion
Il est difficile de considérer cela comme du piratage de mot de passe, mais parfois les pirates tombent sur des mots de passe en clair, nous les inclurons donc rapidement afin que vous ne pensiez pas que nous avons oublié quelque chose. Si un attaquant tombe sur un ensemble d’informations d’identification ou même sur une base de données complète de noms d’utilisateur et de mots de passe stockée en texte brut, son travail est incroyablement simple.
Tout ce qu'ils ont à faire est d'aller sur la page de connexion du compte et d'essayer de se connecter en utilisant les informations dont ils disposent. Si l’utilisateur n’a pas modifié son mot de passe depuis qu’il est entre les mains du pirate informatique et qu’il n’existe aucune mesure d’authentification supplémentaire telle que 2FA , le pirate aura alors un accès direct au compte. Une fois dedans, ils peuvent en faire ce qu'ils veulent. Il s'agit d'un processus simple et rapide par rapport aux autres techniques dont nous parlerons.
Bourrage d'informations d'identification
Si un pirate informatique dispose d'une liste de noms d'utilisateur et de mots de passe en clair provenant d'un seul fournisseur de services, ils peuvent essayer d'utiliser ces mêmes noms d'utilisateur et mots de passe sur d'autres comptes dans ce qu'on appelle attaques de type credential stuffing .
Ce type d'attaque profite du fait que les gens utilisent souvent exactement les mêmes mots de passe sur plusieurs comptes . Le résultat est que s’il y a une violation de mot de passe chez l’un de leurs fournisseurs de services, les pirates peuvent alors utiliser le credential stuffing contre tous les autres comptes de la personne. C'est pourquoi il est si important d'utiliser des mots de passe uniques pour chacun de vos comptes.
Les attaques de credential stuffing sont relativement simples une fois que le pirate informatique dispose des noms d’utilisateur et des mots de passe. Disons que la faille vient de Facebook. Tout ce que le pirate a à faire est d'essayer les mêmes combinaisons de nom d'utilisateur et de mot de passe sur Google, les comptes de messagerie, Spotify, Netflix, les comptes bancaires, Amazon, d'autres détaillants en ligne et de nombreux autres endroits courants où les gens peuvent avoir des comptes.
Si la combinaison nom d'utilisateur et mot de passe fonctionne, cela signifie que la personne a utilisé le même mot de passe sur plusieurs comptes. Une fois que l’attaquant s’est connecté avec succès, il a le contrôle total du compte et peut faire tout ce que l’utilisateur peut faire.
Cracker des mots de passe avec un hachage de mot de passe
Dans de nombreuses situations, un pirate informatique peut avoir accès au hachage du mot de passe, mais pas au mot de passe . La meilleure pratique générale consiste à ce que les bases de données stockent les mots de passe des utilisateurs sous forme de hachages, plutôt que les mots de passe eux-mêmes en texte brut. UN hacher est simplement le résultat d’une fonction de hachage, une fonction unidirectionnelle déterministe et impossible à inverser.
Comment les hachages sont utilisés pour sécuriser les mots de passe
Lorsqu'un mot de passe est transmis via une fonction de hachage sécurisée, la valeur résultante est essentiellement unique, mais elle ne peut pas être utilisée pour déterminer quel était le mot de passe d'origine.
Cela signifie que lorsqu'un utilisateur crée un compte et saisit son mot de passe, le système peut immédiatement exécuter le mot de passe via une fonction de hachage, et stockez uniquement la valeur de hachage unique, et jamais le mot de passe lui-même.
Avec cette configuration, chaque fois qu'un utilisateur tente de se connecter et saisit son mot de passe, le mot de passe est immédiatement haché et non stocké. Le système de connexion prend ensuite ce hachage et le compare au hachage de mot de passe dont il dispose dans sa base de données pour cet utilisateur particulier. Si les deux hachages correspondent, le système sait que le même mot de passe a été saisi.
Cela signifie que le système dispose d'un moyen de vérifier que le mot de passe correct a été saisi, sans avoir à stocker le mot de passe en texte brut. Si le système est piraté et la base de données de mots de passe volée, les pirates ne se retrouveront pas avec un tas de mots de passe en texte brut. Au lieu de cela, ils se retrouvent avec un tas de hachages de mots de passe.
Si les attaquants avaient rencontré les mots de passe en clair, ils auraient pu récupérer ces mots de passe et se connecter aux comptes aussi facilement que les utilisateurs. Lorsque les attaquants n’ont accès qu’aux hachages, ils doivent être capables de comprendre les mots de passe à partir des hachages, ce qui peut considérablement compliquer les choses.
Déterminer des mots de passe simples à partir des hachages de mots de passe
Dans certains cas, cela est relativement simple. Il existe une gamme de logiciels comme Arc-en-cielCrack ou ophcrack , qui peut soit générer des hachages pour des combinaisons de mots de passe potentielles, soit rechercher un hachage par rapport à des tables précalculées. Ces tables sont connues sous le nom de tables arc-en-ciel et présentent généralement les mots de passe les plus courants ainsi que leurs hachages de mots de passe correspondants. . Tenter uniquement les combinaisons de mot de passe et de hachage de mot de passe les plus courantes et les plus probables est connu sous le nom d’attaque par dictionnaire, et nous en discuterons plus en profondeur vers la fin de notre article.
Si un attaquant dispose d’un hachage de mot de passe, il lui suffit d’utiliser le logiciel pour le comparer aux tables arc-en-ciel précalculées. S’il s’agit d’un mot de passe commun ou simple, il est probable que le pirate trouvera un hachage correspondant dans la base de données. , et ils peuvent alors tenter de se connecter au service avec le mot de passe correspondant.
Si l'utilisateur n'a pas modifié son mot de passe depuis le vol du hachage et qu'il n'y a aucun autre contrôle de sécurité, l'attaquant pourra accéder à son compte avec le mot de passe qui correspond au hachage.
L’avantage de l’utilisation des hachages de mot de passe est qu’ils permettent au pirate informatique de déterminer le mot de passe hors ligne. . Parce qu'ils essaient de trouver le mot de passe correspondant sur leur propre ordinateur, ils ne sont soumis à aucun verrouillage, CAPTCHA ou autre restriction qui peut être présente s'ils tentent de se connecter contre les contrôles de sécurité d'un site Web.
Déterminer des mots de passe complexes à partir des hachages de mots de passe
Dans les cas où le mot de passe n'est trouvé dans aucune des tables arc-en-ciel, il est probable qu'un mot de passe plus complexe ait été utilisé, ou que le mot de passe ait été salé . Un attaquant peut essayer d’utiliser le logiciel pour tenter de générer lui-même de nouveaux mots de passe et les hachages correspondants.
La probabilité de succès dépendra de la complexité du mot de passe, ainsi que de la quantité de ressources informatiques dont dispose l’attaquant. Dans de nombreux cas, il sera impossible de trouver le mot de passe de cette manière, mais tout dépend des efforts que l'attaquant est prêt à déployer.
D’où les pirates informatiques obtiennent-ils les hachages de mots de passe ?
Comme nous l’avons mentionné, les mots de passe ne doivent jamais être stockés en clair, car cela rend la vie des pirates trop facile et rend les utilisateurs incroyablement vulnérables. Parfois, cela se fait encore, mais les personnes qui ont mis en place ces systèmes font un travail épouvantable.
Ainsi, nous savons que les mots de passe doivent être stockés sous forme de hachage afin que lorsqu'un utilisateur saisit son mot de passe, il puisse toujours être vérifié par rapport au hachage du système. Le problème est que les hachages doivent toujours être stockés et tout ce qui est stocké peut être volé.
Les pirates peuvent obtenir les hachages de mots de passe du serveur sur lequel ils sont stockés de plusieurs manières. Il s’agit notamment d’employés mécontents, d’injections SQL et d’une série d’autres attaques. Que l'organisation dispose d'une bonne ou d'une mauvaise sécurité, la possibilité que les hachages de mots de passe soient volés demeure. La seule différence est à quel point cela sera facile et si cela en vaut réellement la peine pour un attaquant potentiel.
Une autre source de hachage de mot de passe consiste à utiliser des protocoles réseau tels que WPA2-PSK et NTLM , qui envoient des hachages de mots de passe sur le réseau. Dans de nombreux cas, les paquets contenant ces hachages peuvent ne pas être chiffrés, donc si un attaquant écoute, il peut facilement voler le hachage du mot de passe.
Quelles options sont disponibles si le pirate informatique ne dispose pas du hachage ?
Dans de nombreux cas, un pirate informatique ne disposera pas de mots de passe en clair ni de hachages de mots de passe. Cependant, il existe encore certaines options qu’ils peuvent poursuivre :
Cracker les mots de passe avec la force brute
À l’autre extrémité du spectre se trouvent attaques par force brute . Si un attaquant ne dispose pas du mot de passe ou du hachage du mot de passe, il peut simplement essayer d'utiliser la force brute. . Il n’y a rien d’élégant dans les attaques par force brute. Ils consistent simplement à utiliser chaque combinaison de mot de passe possible de manière méthodique. L’espoir est que l’attaquant finisse par trouver le bon mot de passe, ce qui lui permettra d’accéder au compte.
AU M par Mohamed Hassan sous licence CC0 .
Examinons une version très simple d’une attaque par force brute. Si vous disposez d'un code PIN à 4 chiffres pour votre guichet automatique, cela signifie qu'il existe 10 000 combinaisons possibles distinctes, de 0 à 9999. Si un attaquant veut voler une partie de votre argent et qu'il ne peut pas simplement regarder par-dessus votre épaule, leur meilleur pari est simplement d’essayer chaque combinaison dans l’ordre.
0001, 0002, 0003, et ainsi de suite jusqu'à 9999.
S'ils essayaient de manière plus aléatoire (8726, 9462, 1244, 4625… etc.), ils pourraient finir par inscrire plusieurs fois les mêmes nombres, ou oublier complètement de tenter certaines combinaisons.
Avec une tentative systématique comme celle mentionnée ci-dessus, mathématiquement parlant, on s’attendrait à ce que l’attaquant tombe sur le code PIN aux alentours de la 5 000e tentative, même si bien sûr, il ne s’agit que d’une moyenne.
Le forçage brut est relativement simple. C'est lent et monotone, mais ça finit par y arriver, à condition d'avoir suffisamment de temps. . Avec l'exemple que nous venons de donner, la démarche serait fastidieuse, mais trouver le code PIN reste certainement une possibilité.
Mais que se passe-t-il s’il s’agit d’un mot de passe complexe de 40 caractères avec un nombre astronomique de combinaisons possibles ? Même si vous disposiez des ressources nécessaires pour deviner des millions de tentatives par seconde, vous ne tomberiez peut-être pas sur le mot de passe au cours de votre vie. . Dans cette optique, le forçage brutal des mots de passe est certainement une option viable contre les mots de passe simples, mais peu pratique contre les mots de passe complexes.
Lorsque nous avons examiné l'exemple que vous avez mentionné ci-dessus, vous avez peut-être pensé que ce serait impossible, car les distributeurs automatiques ont tendance à limiter le nombre de tentatives de connexion que vous pouvez effectuer. C’est certainement vrai, c’est pourquoi nous avons simplement démontré le concept, sans dire qu’il est réellement réalisable dans la vraie vie.
Le même problème s’applique à de nombreux autres systèmes de connexion, ce qui peut rendre le forçage brutal peu pratique dans de nombreux scénarios réels. Soit vous serez bloqué après quelques tentatives, soit vous serez confronté à des CAPTCHA réguliers. cela rend difficile l’automatisation des suppositions. Ces défenses rendent le forçage brutal beaucoup trop inefficace, ce qui signifie qu’il est rarement utilisé dans ces contextes.
Il convient de noter que si un pirate informatique dispose des hachages de mot de passe, il peut également utiliser une approche par force brute pour essayer chaque combinaison de mot de passe et de hachage sur son propre matériel. Cela contraste avec les attaques par dictionnaire, qui sont plus efficaces.
Cracker des mots de passe avec des attaques par dictionnaire
Même si les attaques par force brute peuvent éventuellement aider à retrouver le mot de passe, elles prennent beaucoup de temps et d’énergie. La réalité est que la plupart des gens n’utilisent pas de mots de passe complètement aléatoires, sauf dans les rares cas où ils sont créés par un générateur de mots de passe. Cela signifie que le forçage brutal finira par tenter tout un tas de mots de passe incroyablement improbables.
Dans de nombreux cas, il est beaucoup plus rapide de lancer ce que l’on appelle des attaques par dictionnaire, qui utilisent essentiellement les mots de passe, mots et modèles les plus courants. Ceux-ci sont beaucoup plus susceptibles d’être utilisés comme mots de passe, ce qui signifie qu’il y a de fortes chances qu’une attaque par dictionnaire permette de trouver le mot de passe correct beaucoup plus rapidement et moins gourmand en ressources.
Cependant, dans de nombreux contextes, nous rencontrons le même problème que ci-dessus, avec des mécanismes de sécurité tels que les limites de tentatives de connexion et les CAPTCHA nous empêchant de tenter un flux presque infini de combinaisons possibles.
Tout comme pour le forçage brutal, si un attaquant dispose déjà de hachages de mot de passe, il peut utiliser des attaques par dictionnaire pour essayer de trouver un mot de passe correspondant hors ligne. Dans de nombreux cas, cela sera beaucoup plus rapide que le forçage brutal du mot de passe, et cela permettra aux attaquants de contourner tous les mécanismes de sécurité éventuellement en place. Pour cette raison, les attaques par dictionnaire sont généralement tentées avant que les attaquants ne tentent de forcer brutalement un mot de passe.
Cracker des mots de passe avec des listes de mots personnalisées
Tout comme les attaques par dictionnaire peuvent être bien plus efficaces que les attaques par force brute, l’ajout de listes de mots personnalisées peut accélérer les choses en adaptant l’attaque à des cibles spécifiques. Si vous connaissez le nom, l'adresse, les loisirs, l'anniversaire, les détails de la famille de la cible et plus encore, vous pouvez ajouter toutes ces données dans le logiciel et les intégrer dans les combinaisons de mots de passe que vous essayez. Il existe une gamme d'outils qui peuvent le faire, un exemple étant le Profileur de mots de passe utilisateur communs (CUPP) .
Pulvérisation de mot de passe
Si un attaquant dispose d’une liste de noms d’utilisateur mais pas de hachage de mot de passe ni de mot de passe en texte brut, il dispose toujours d’une option pour essayer de déchiffrer les mots de passe. La pulvérisation de mots de passe consiste à tenter de déchiffrer les mots de passe d’autant de comptes uniques que possible. Son taux d’efficacité n’est pas particulièrement élevé, mais il est possible de lancer ces attaques à grande échelle, ce qui peut compenser.
Tout ce qu'un pirate informatique a à faire est d'essayer les mots de passe les plus courants sur autant de comptes que possible. Ils peuvent commencer par des tentatives comme mot de passe1 et 123456 , et progressez lentement vers des mots de passe plus complexes.
Ce qui est génial avec la pulvérisation de mots de passe, c'est que cela implique des tentatives relativement peu fréquentes contre chaque compte. Si un attaquant ne tente que deux tentatives, puis attend une semaine avant de revenir sur ce compte particulier, il est moins probable qu’il déclenche les mécanismes de sécurité qui le verrouilleraient.
Bien entendu, si un attaquant souhaitait uniquement cibler des comptes spécifiques, cette technique prendrait beaucoup trop de temps pour être une option viable . Cependant, s’ils font la même chose sur des dizaines ou des centaines de milliers de comptes à la fois, il ne leur faudra pas longtemps avant de tomber sur des personnes qui utilisent des mots de passe horriblement simples. Il s’agit simplement d’un jeu de chiffres et, au fil du temps, la pulvérisation de mots de passe permet aux attaquants d’accéder à des comptes sécurisés par de mauvais mots de passe.
Comment se défendre contre le piratage de mot de passe ?
Il est préférable d’envisager la défense des mots de passe du point de vue de l’utilisateur et du développeur. Un utilisateur peut suivre toutes les meilleures pratiques, mais celles-ci ne font rien pour assurer sa sécurité si le mot de passe est stocké en texte brut. Bien que les développeurs puissent prendre de nombreuses mesures pour minimiser le risque que les utilisateurs adoptent des pratiques dangereuses en matière de mots de passe, ils ne peuvent pas les empêcher de faire des choses comme utiliser le même mot de passe sur un autre compte.
Pour les utilisateurs
En tant qu'utilisateur, vous pouvez prendre de nombreuses mesures pour garantir que vos comptes et vos données sont mieux protégés. L'une des premières priorités est de définir des mots de passe complexes, longs et uniques pour chacun de vos comptes. Ne réutilisez pas vos mots de passe, car cela vous rend vulnérable au credential stuffing.
Comme nous en avons discuté dans La complexité d'un mot de passe section, il est en fait assez difficile de se souvenir de mots de passe vraiment complexes, longs et aléatoires. Notre cerveau n’est tout simplement pas censé mémoriser un fouillis de caractères, surtout si l’on considère que vous avez probablement des dizaines de mots de passe.
De nos jours, la meilleure option est d’adopter un gestionnaire de mots de passe comme KeePass ou BitWarden. Lorsque vous disposez d'un bon gestionnaire de mots de passe, tout ce que vous avez à faire est de mémoriser une longue phrase secrète comme clé principale pour ouvrir le gestionnaire de mots de passe, et le gestionnaire de mots de passe peut à la fois générer et stocker tous vos autres mots de passe. Le processus rend simple et facile la sécurité.
Assurez-vous simplement que votre clé principale est suffisamment complexe, que vous n'oubliez pas votre clé principale et que vous disposez de sauvegardes de votre base de données à plusieurs endroits. Il peut être utile de mettre votre passe-partout dans votre coffre-fort ou de le laisser dans une enveloppe à une personne de confiance pour votre vie.
L'une des meilleures tactiques pour adopter une clé principale sécurisée consiste à rassemblez-en quelques-uns aléatoire mots . Ils doivent être aléatoires, et non une citation ou une phrase, car ces dernières sont bien plus prévisibles et plus faciles à déchiffrer. Une combinaison comme appareil répondant intégrer danseur est un bon point de départ.
Une autre étape essentielle pour sécuriser vos comptes est de adopter l'authentification à deux facteurs . Cela fournit une ligne de défense supplémentaire qui peut vous aider à vous sauver si un attaquant parvient à obtenir votre mot de passe. Nous avons déjà parlé de l'échange de carte SIM, l'authentification par SMS est donc une mauvaise idée. Au lieu de cela, il est préférable d'opter pour une authentification basée sur une application comme Duo, Google Authenticator ou Aegis si vous aimez les logiciels open source. Si vous êtes vraiment chic, vous pouvez utiliser un jeton de sécurité physique à la place.
Si vous vous inscrivez à haveibeenpwned.com , vous pouvez recevoir des alertes lorsque votre adresse e-mail ou votre numéro de téléphone a été impliqué dans une violation de données signalée sur le site Web . Cela vous permettra de savoir si vous devez modifier votre mot de passe. Le site dispose également d'une fonctionnalité qui vous permet de vérifiez la fréquence de votre mot de passe est. Les données que vous saisissez sont immédiatement hachées avec SHA-1 et votre mot de passe n'est jamais stocké. Le site Web est également géré par un chercheur renommé appelé Troy Hunt, le risque est donc relativement faible.
Cependant, vous saisissez toujours votre mot de passe sur un site Web tiers, vous avez donc le droit d'être sceptique. Faites-le à vos propres risques. Si vous hésitez à essayer votre mot de passe dans la base de données, assurez-vous simplement que vous utilisez plutôt un mot de passe long et généré de manière aléatoire.
Si vous pensez que votre mot de passe peut être compromis pour d'autres raisons, ou si vous êtes averti directement par le fournisseur de services, vous devez également modifier votre mot de passe. En dehors de ces situations, les bonnes pratiques actuelles ne suggèrent plus de devoir changer régulièrement votre mot de passe, car des changements réguliers ont tendance à encourager la sélection de mauvais mots de passe. Si vous n’avez aucune raison de soupçonner que votre mot de passe complexe a été compromis, laissez-le tel quel.
Pour les développeurs
L'une des considérations les plus importantes pour les développeurs est de s'assurer qu'ils hachent les mots de passe et ne les stockent pas sous forme de texte brut. Si vous ne les hachez pas, vous laissez vos utilisateurs vulnérables au piratage de leurs comptes. . Peu importe le degré de sécurité de votre serveur, vous devez hacher vos mots de passe avant de les stocker, car il est impossible d’éliminer complètement le risque qu’un pirate informatique s’introduise dans vos systèmes.
La prochaine étape vient salaison , ce qui est un excellent moyen de rendre les attaques de table arc-en-ciel peu pratiques . En bref, une valeur aléatoire est ajoutée à chaque mot de passe avant qu'il ne soit haché. Cela a pour effet que les données supplémentaires rendent le hachage du mot de passe beaucoup plus rare. Si un utilisateur dispose d'un mot de passe tel que abc123, l'ajout du sel modifie le hachage. Même si l'attaquant connaît le hachage de abc123, cela ne le mène nulle part, car le sel a transformé le hachage en un hachage beaucoup moins fréquemment utilisé. Le résultat est que les attaques par table arc-en-ciel sont irréalisables. Une bibliothèque comme bcrypt est l’un des moyens les plus simples et les plus sûrs de mettre en œuvre ce type de salage sécurisé.
Une autre option consiste à implémenter une fonction de dérivation de clé comme Argon2 . Argon2 a été le gagnant du concours de hachage de mot de passe 2015. Parmi ses capacités, il peut étendre et renforcer les mots de passe, ce qui rend l'utilisation des tables arc-en-ciel peu pratique.
De plus, les développeurs peuvent créer des listes noires interdisant les mots de passe couramment utilisés. Ils peuvent également stipuler qu'un nombre défini de caractères doit être utilisé, le plus long étant le mieux. NIST ne recommande plus de changements fréquents de mot de passe, sauf si une compromission est suspectée, vous n'avez donc pas à déranger vos utilisateurs tous les mois ou deux en leur demandant de le modifier.
Un autre mécanisme de protection important consiste à exiger une authentification à deux facteurs. Cela donne à vos utilisateurs une couche de sécurité supplémentaire, juste au cas où leurs mots de passe se retrouveraient entre les mains d'attaquants. Encore une fois, le 2FA basé sur une application ou un jeton est préférable, pas l'authentification par SMS.
Quelle est la probabilité que votre mot de passe soit piraté ?
C’est difficile à dire exactement, et cela dépendra de ce que vous considérez comme « cracké ». Si vous disposez d’un mot de passe complexe, les chances que des attaques par force brute ou par dictionnaire réussissent sont incroyablement improbables. Si nous parlons de mots de passe courants ou de mots de passe que vous utilisez sur plusieurs comptes, il n’est pas improbable que vous deveniez victime d’une pulvérisation de mots de passe ou d’une attaque de credential stuffing.
Si nous parlons de choses comme le phishing ou le épaulement, qui n’impliquent pas de « pirater » votre mot de passe, ces types d’attaques constituent une menace encore plus grande si vous n’êtes pas toujours vigilant quant à votre sécurité.
Bien que les risques de piratage ou de vol de votre mot de passe soient bien réels, les méthodes que nous avons mentionnées contribuent grandement à les minimiser. Même si les mesures de protection peuvent sembler ennuyeuses, voire inutiles, si vous n'avez jamais été attaqué, vous apprendrez certainement à l'apprécier si votre négligence entraîne un hacker qui fait des ravages dans votre vie.