Qu'est-ce qu'une attaque par force brute et comment la prévenir?

What is a brute-force attack?

Nous avons tous besoin de résoudre des CAPTCHA de temps en temps, mais avez-vous déjà pensé à quoi sert ces tests parfois ennuyeux? Et qu'est-ce que CAPTCHA signifie de toute façon? Il représente C ompletely A utomated PUBLIQUE T u cours de test pour indiquer C RDINATEURS et H de la partie A, et l' un de ses objectifs est de prévenir avec succès les attaques de force brute. Il est temps de poser d'autres questions.

Qu'est-ce qu'une attaque par force brute?

Pensez à une serrure à combinaison. Vous ne connaissez pas le code à quatre chiffres qui le déverrouille, alors essayez simplement de le deviner. Vous commencez avec "0000" et si cela ne fonctionne pas, vous essayez "0001", "0002", "0003", etc. jusqu'à atteindre la combinaison qui ouvre le verrou. En termes simples, il s'agit d'une attaque par force brute, et le même principe peut être appliqué aux mots de passe.

Bien sûr, ce n'est pas aussi simple qu'il y paraît. En règle générale, les mots de passe se composent de plus de quatre caractères et contiennent généralement des lettres, ce qui, comme nous le découvrirons dans une minute, signifie que le nombre de combinaisons possibles est beaucoup plus élevé. Dans l'ensemble, une attaque par force brute dans sa forme traditionnelle n'est pas un moyen brillamment efficace de briser un mot de passe. C'est pourquoi, une évolution de l'attaque par force brute appelée attaque par dictionnaire est beaucoup plus courante de nos jours.

Qu'est-ce qu'une attaque par dictionnaire?

Dans une attaque par dictionnaire, les pirates tentent toujours de deviner le mot de passe. La différence est que dans une tentative de force brute, ils tirent dans le noir alors qu'ici, ils font des suppositions éclairées. Cette attaque est rendue possible par le fait que les utilisateurs ne sont tout simplement pas très bons avec les mots de passe .

La mémorisation de plusieurs mots de passe complexes est difficile, c'est pourquoi de nombreuses personnes ont recours à la protection de leurs comptes avec des mots simples comme "mot de passe" ou des modèles de clavier comme "qwerty". En rassemblant de longues listes de mots de passe couramment utilisés, les pirates sont beaucoup plus susceptibles de deviner le mot de passe avec beaucoup moins d'essais.

Attaques hors ligne et en ligne

L'attaque traditionnelle par force brute et la variété de dictionnaires peuvent être effectuées en ligne ou hors ligne. Dans une attaque en ligne, les pirates tentent de deviner le mot de passe sur la page de connexion. Lorsqu'ils sont hors ligne, ils ont violé le fournisseur de services et ont téléchargé la base de données qui contient votre mot de passe haché. Après avoir recréé localement le mécanisme de hachage, ils essaient de deviner le mot de passe sans se connecter à la page de connexion.

D'où vient CAPTCHA dans tout cela?

C'est un mécanisme pour arrêter les attaques par force brute et les dictionnaires en ligne. Comme vous l'avez peut-être déjà deviné, les attaquants ne s'assoient pas devant un clavier essayant différents mots de passe jusqu'à ce que "Accès accordé" apparaisse à l'écran. Ils utilisent des outils et des logiciels automatisés, et aussi sophistiqués que soient ces outils, ils ne sont pas capables de résoudre un bon test CAPTCHA. Il existe généralement d'autres précautions telles que des limites sur le nombre de tentatives de connexion infructueuses et le blocage des adresses IP qui génèrent du trafic suspect, mais un test CAPTCHA est la solution la plus simple (mais pas complètement infaillible).

Dans une attaque hors ligne, cependant, un test CAPTCHA est complètement hors de propos. C'est là que vous devez intervenir.

Se protéger contre les attaques par force brute

La seule façon de vous assurer que votre mot de passe n'est pas sensible à une attaque par dictionnaire est de vous assurer qu'il ne figure pas dans les dictionnaires des pirates. Tous les modèles de clavier devraient être hors de question, même si vous pensez qu'ils ne sont pas faciles à deviner. Si le mot de passe est un mot significatif, vous pourriez également être vulnérable. N'oubliez pas que lors d'une attaque hors ligne, les pirates n'ont pas à s'inquiéter de se faire prendre ou de manquer de tentatives de connexion, afin qu'ils puissent théoriquement charger le vocabulaire complet d'une langue et attendre que le bon mot apparaisse. Une chaîne de caractères aléatoire qui n'a aucun sens vous protégera non seulement contre les attaques par dictionnaire, mais rendra également les tentatives de force brute beaucoup plus difficiles.

Selon la longueur et le type de caractères utilisés, il existe un nombre fini de combinaisons possibles pour chaque mot de passe. Pour un code numérique à quatre caractères, par exemple, vous avez un total de 10 000 combinaisons possibles. Cependant, si vous ajoutez des lettres minuscules à l'équation, vous augmentez immédiatement le nombre jusqu'à près de 1,7 million. Ajoutez des lettres majuscules et vous voyez près de 14,8 millions de combinaisons.

Cela peut sembler beaucoup, mais les outils de craquage de mot de passe modernes passeront par toutes ces combinaisons en quelques secondes.C'est pourquoi, en plus de recommander l'utilisation d'un éventail de caractères aussi large que possible, les experts disent également qu'un bon mot de passe est au moins 8 caractères de long.

Certains d'entre vous peuvent lire cette pensée "plus facile à dire qu'à faire". Eh bien, nous estimons que déjouer les tentatives de force brute n'a jamais été aussi simple. Avec Cyclonis Password Manager , la création et le stockage de plusieurs mots de passe forts est un jeu d'enfant. Le générateur de mots de passe automatique créera des mots de passe aléatoires composés de chiffres, de lettres et de caractères spéciaux, et c'est à vous de décider combien de temps vous voulez qu'ils soient. Vous n'avez pas non plus à vous soucier de vous en souvenir. Cyclonis Password Manager mettra tous vos mots de passe dans un coffre-fort crypté auquel vous pourrez accéder via votre mot de passe principal.

October 9, 2019

Laisser une Réponse