Qu'est-ce que le bourrage de mots de passe et que pouvez-vous faire pour vous protéger contre cela?

Credential Password Stuffing

Un utilisateur a piraté l'un de ses comptes en ligne, et la première chose qu'il se demande est: «Comment les pirates ont-ils mis la main sur mon mot de passe?». Ils sont en colère et veulent des réponses. Lorsque les réponses sont retardées, elles deviennent encore plus frustrées.

C'est une réaction naturelle, mais arrêtons-nous un instant et réfléchissons à ce que c'est que de l'autre côté de la clôture. Mettez-vous à la place d'un prestataire de services.

Vous avez lu d'innombrables articles de blog, articles et articles de recherche. Vous avez vu des spécialistes de la sécurité expliquer ce que vous devez et ne devez pas faire, et contrairement à de nombreux autres services en ligne, vous ne pensez pas qu'une déclaration impliquant les mots "sécurité" et "sérieusement" soit un outil pour calmer les hordes de colère utilisateurs. Votre connexion est sécurisée, votre système d'authentification salit et hache les mots de passe des utilisateurs et les stocke en toute sécurité. Vos serveurs et toutes les applications logicielles que vous utilisez sont surveillés en permanence et corrigés régulièrement. Et pourtant, d'une manière ou d'une autre, des centaines de vos utilisateurs ont compromis leurs comptes, et vous ne savez pas comment cela s'est produit. Vos utilisateurs ont probablement été victimes d'une attaque de bourrage d'informations d'identification (ou de mot de passe).

Souffrir des conséquences des lacunes de sécurité de quelqu'un d'autre

Le bourrage d'informations d'identification est le nom d'une attaque en plusieurs étapes qui devient de plus en plus populaire. Cela est rendu possible par le fait que beaucoup trop de sites Web et de services en ligne ne font pas assez pour protéger les données sensibles des utilisateurs. Les identifiants de connexion sont stockés en texte brut, par exemple, et les bases de données dans lesquelles ils sont placés sont exposées au Web sans aucune forme de protection.

Pour les cybercrooks encore moins sophistiqués, le piratage de ces sites Web est un jeu d'enfant et ils essaient de gratter autant d'informations d'identification que possible. Les noms d'utilisateur et les mots de passe qui ont fui sont également régulièrement échangés sur les forums de piratage, ce qui est une bonne nouvelle pour les cybercriminels car, dans la plupart des cas, ils utilisent des bases de données piratées de plusieurs sites Web pour lancer une seule attaque de bourrage d'informations d'identification.

Essayer de pirater des comptes en tapant tous les noms d'utilisateur et mots de passe d'une seule adresse IP prendra des années et déclenchera probablement les mécanismes de verrouillage sur de nombreux sites Web. C'est pourquoi, les cybercrooks utilisent des botnets (groupes d'ordinateurs et d'appareils compromis connectés à Internet) et des scripts qui déterminent si les informations d'identification volées fonctionnent. Cependant, ils ne les essaient pas sur les sites Web sur lesquels ils ont été volés.

Ils les essaient sur des sites Web et des services en ligne où la compromission d'un compte pourrait être beaucoup plus lucrative. Et comme un grand nombre de personnes utilisent le même mot de passe sur plusieurs sites Web, les tentatives des pirates réussissent souvent.

Est-il juste de blâmer tout l'utilisateur?

La plupart des utilisateurs savent qu'ils ne devraient pas le faire. Beaucoup d'entre eux savent que des solutions comme Cyclonis Password Manager les aideront à l'éviter. Pourtant, ils continuent d'utiliser des mots de passe identiques pour de nombreux comptes. Vous pourriez dire qu'ils sont à blâmer pour l'existence et, plus précisément, pour la popularité des attaques de bourrage d'informations d'identification.

La vérité est, cependant, que chacun doit tirer son propre poids. Le fait qu'un forum en ligne ne stocke aucune information de paiement ne signifie pas que son propriétaire doit négliger la sécurité. De la même manière, un utilisateur ne devrait pas se sentir à l'aise en sachant que la même chaîne de lettres et de chiffres protège à la fois son compte bancaire en ligne et un profil oublié sur un réseau social que personne n'utilise plus. Tout le monde devrait être conscient du problème et devrait faire ce qu'il peut pour le résoudre.

Soyons réalistes, cependant, quelle est la probabilité que cela se produise?

Eh bien, considérez ceci: il est plus facile que jamais de créer un site Web. Dans le but d'amener les gens à s'inscrire, les départements marketing du monde entier disent que même votre grand-mère peut le faire. Il est peu probable que cela change de sitôt.

Nous réalisons qu'il existe des exceptions, mais généralement, les grands-mères ne sont pas les mieux qualifiées pour concevoir un système centré sur la sécurité et la confidentialité de l'utilisateur. Malheureusement, cela ne changera probablement pas de sitôt. Inévitablement, un jour, vous finirez par vous inscrire à un site Web que la grand-mère de quelqu'un a conçu, et si vous réutilisez votre mot de passe, vous serez bientôt dans un monde difficile.

Donc, que cela vous plaise ou non, en tant qu'utilisateur, la balle est dans votre camp.

November 5, 2019

Laisser une Réponse