Qu'est-ce que le bourrage de mots de passe et que pouvez-vous faire pour vous protéger contre cela?

Credential Password Stuffing

Un utilisateur a piraté l'un de ses comptes en ligne, et la première chose qu'il se demande est: «Comment les pirates ont-ils mis la main sur mon mot de passe?». Ils sont en colère et veulent des réponses. Lorsque les réponses sont retardées, elles deviennent encore plus frustrées.

C'est une réaction naturelle, mais arrêtons-nous un instant et réfléchissons à ce que c'est que de l'autre côté de la clôture. Mettez-vous à la place d'un prestataire de services.

Vous avez lu d'innombrables articles de blog, articles et articles de recherche. Vous avez vu des spécialistes de la sécurité expliquer ce que vous devez et ne devez pas faire, et contrairement à de nombreux autres services en ligne, vous ne pensez pas qu'une déclaration impliquant les mots "sécurité" et "sérieusement" soit un outil pour calmer les hordes de colère utilisateurs. Votre connexion est sécurisée, votre système d'authentification salit et hache les mots de passe des utilisateurs et les stocke en toute sécurité. Vos serveurs et toutes les applications logicielles que vous utilisez sont surveillés en permanence et corrigés régulièrement. Et pourtant, d'une manière ou d'une autre, des centaines de vos utilisateurs ont compromis leurs comptes, et vous ne savez pas comment cela s'est produit. Vos utilisateurs ont probablement été victimes d'une attaque de bourrage d'informations d'identification (ou de mot de passe).

Souffrir des conséquences des lacunes de sécurité de quelqu'un d'autre

Le bourrage d'informations d'identification est le nom d'une attaque en plusieurs étapes qui devient de plus en plus populaire. Cela est rendu possible par le fait que beaucoup trop de sites Web et de services en ligne ne font pas assez pour protéger les données sensibles des utilisateurs. Les identifiants de connexion sont stockés en texte brut, par exemple, et les bases de données dans lesquelles ils sont placés sont exposées au Web sans aucune forme de protection.

Pour les cybercrooks encore moins sophistiqués, le piratage de ces sites Web est un jeu d'enfant et ils essaient de gratter autant d'informations d'identification que possible. Les noms d'utilisateur et les mots de passe qui ont fui sont également régulièrement échangés sur les forums de piratage, ce qui est une bonne nouvelle pour les cybercriminels car, dans la plupart des cas, ils utilisent des bases de données piratées de plusieurs sites Web pour lancer une seule attaque de bourrage d'informations d'identification.

Essayer de pirater des comptes en tapant tous les noms d'utilisateur et mots de passe d'une seule adresse IP prendra des années et déclenchera probablement les mécanismes de verrouillage sur de nombreux sites Web. C'est pourquoi, les cybercrooks utilisent des botnets (groupes d'ordinateurs et d'appareils compromis connectés à Internet) et des scripts qui déterminent si les informations d'identification volées fonctionnent. Cependant, ils ne les essaient pas sur les sites Web sur lesquels ils ont été volés.

Ils les essaient sur des sites Web et des services en ligne où la compromission d'un compte pourrait être beaucoup plus lucrative. Et comme un grand nombre de personnes utilisent le même mot de passe sur plusieurs sites Web, les tentatives des pirates réussissent souvent.

Est-il juste de blâmer tout l'utilisateur?

La plupart des utilisateurs savent qu'ils ne devraient pas le faire. Beaucoup d'entre eux savent que des solutions comme Cyclonis Password Manager les aideront à l'éviter. Pourtant, ils continuent d'utiliser des mots de passe identiques pour de nombreux comptes. Vous pourriez dire qu'ils sont à blâmer pour l'existence et, plus précisément, pour la popularité des attaques de bourrage d'informations d'identification.

La vérité est, cependant, que chacun doit tirer son propre poids. Le fait qu'un forum en ligne ne stocke aucune information de paiement ne signifie pas que son propriétaire doit négliger la sécurité. De la même manière, un utilisateur ne devrait pas se sentir à l'aise en sachant que la même chaîne de lettres et de chiffres protège à la fois son compte bancaire en ligne et un profil oublié sur un réseau social que personne n'utilise plus. Tout le monde devrait être conscient du problème et devrait faire ce qu'il peut pour le résoudre.

Soyons réalistes, cependant, quelle est la probabilité que cela se produise?

Eh bien, considérez ceci: il est plus facile que jamais de créer un site Web. Dans le but d'amener les gens à s'inscrire, les départements marketing du monde entier disent que même votre grand-mère peut le faire. Il est peu probable que cela change de sitôt.

Nous réalisons qu'il existe des exceptions, mais généralement, les grands-mères ne sont pas les mieux qualifiées pour concevoir un système centré sur la sécurité et la confidentialité de l'utilisateur. Malheureusement, cela ne changera probablement pas de sitôt. Inévitablement, un jour, vous finirez par vous inscrire à un site Web que la grand-mère de quelqu'un a conçu, et si vous réutilisez votre mot de passe, vous serez bientôt dans un monde difficile.

Donc, que cela vous plaise ou non, en tant qu'utilisateur, la balle est dans votre camp.

Par Duran
November 5, 2019
Password Security
Français
November 5, 2019
Password Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.