Que sont les attaques par force brute et comment vous protéger?
Si vous lisez régulièrement nos articles sur la sécurité - comme celui-ci, sur le test de la force de votre mot de passe Testez votre force de mot de passe avec le même outil Utilisez les mots clés de votre mot de passe avec le même outil Utilisez-vous votre mot de passe est-il sécurisé? Les outils qui évaluent la force de votre mot de passe ont une précision médiocre, ce qui signifie que le seul moyen de vraiment tester vos mots de passe est d'essayer de les casser. Regardons comment. Lire la suite - vous avez probablement entendu la phrase “attaque de force brute.” Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir.
Attaques par force brute: l'essentiel
Au fond, une attaque par force brute est très simple: un programme informatique essaie de deviner un mot de passe ou une clé de cryptage en effectuant une itération de toutes les combinaisons possibles d’un certain nombre de caractères. Par exemple, supposons que vous ayez écrit une application qui tente de forcer brutalement un mot de passe iPhone à quatre chiffres. Il pourrait deviner 1111, puis 1112, puis 1113, 1114, 1115, et ainsi de suite jusqu'à 9999.
Le même principe peut être appliqué avec des mots de passe plus compliqués. Un algorithme de force brute peut commencer par aaaaaa, aaaaab, aaaaaac, puis passer à des choses comme aabaa1, aabaa2, aabaa3, etc., à travers toutes les combinaisons de six caractères du nombre et des lettres jusqu'à zzzzzz, zzzzz1 et au-delà..
Il existe également une technique connue sous le nom d’attaque par force brute inversée, dans laquelle un mot de passe est essayé contre de nombreux noms d’utilisateur différents. Ceci est moins courant et plus difficile à utiliser avec succès, mais il contourne certaines contre-mesures courantes..
Comme vous pouvez le constater, c’est un moyen plutôt inélégant de deviner un mot de passe. Cependant, théoriquement, si vous aviez assez de puissance de calcul et d’énergie, vous pourriez deviner n’importe quel mot de passe. Mais si vous utilisez autre chose qu'un mot de passe court et simple, vous n'avez pas à vous inquiéter, car la quantité de puissance informatique qu'il faudrait pour deviner un mot de passe plus long nécessiterait une énorme quantité d'énergie et pourrait prendre des années. compléter.
Attaques de force brute avancées
Parce que les attaques par force brute sur des mots de passe très simples sont lamentablement inefficaces et prennent beaucoup de temps, les pirates informatiques ont mis au point des outils qui les rendent plus efficaces..
Une attaque par dictionnaire, par exemple, ne se contente pas de parcourir toutes les combinaisons de caractères possibles; il utilise des mots, des nombres ou des chaînes de caractères provenant d'une liste pré-compilée que le pirate informatique estime être au moins un peu plus susceptible que la moyenne de s'afficher dans un mot de passe (c'est le genre d'attaque que vous pouvez mener avec une pénétration de réseau assez simple logiciel de test Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits ces outils gratuits pour identifier les "points faibles" de votre réseau domestique. Lire la suite).
Par exemple, une attaque par dictionnaire peut utiliser plusieurs mots de passe courants avant de lancer une attaque par force brute standard, telle que “mot de passe,” “mon mot de passe,” “laisse moi entrer,” etc. Ou cela pourrait ajouter “2016” à la fin de tous les mots de passe qu'il essaie avant de passer au mot de passe suivant.
Il existe différentes méthodes d’utilisation des attaques par force brute, mais elles reposent toutes sur l’essai le plus rapidement possible d’un grand nombre de mots de passe, jusqu’à ce que le bon soit trouvé. Certains nécessitent plus de puissance de calcul mais permettent de gagner du temps. certains sont plus rapides, mais nécessitent une plus grande quantité de stockage lors de l'attaque.
Lorsque les attaques par force brute sont dangereuses
Les attaques par force brute peuvent être utilisées sur tout ce qui a un mot de passe ou une clé de cryptage, mais de nombreux endroits où elles pourraient être utilisées ont déployé des contre-mesures efficaces (comme vous le verrez dans la section suivante)..
Si vous perdez vos données et qu'un pirate informatique les met en danger, vous êtes le plus menacé par une attaque en force brute. Une fois qu'elles sont stockées sur leur ordinateur, vous pouvez contourner certaines des mesures de protection mises en place sur votre ordinateur ou en ligne..
Comment un scélérat pourrait-il obtenir vos données sur leur ordinateur? Vous pourriez perdre une clé USB, peut-être en la laissant dans la poche de votre vêtement que vous avez envoyé à un nettoyeur, comme les 4 500 clés USB trouvées en 2009 au Royaume-Uni. Ou, comme les 12 500 autres appareils trouvés, vous pouvez laisser un téléphone ou un ordinateur portable dans un taxi. C'est une chose facile à faire.
Ou peut-être que quelqu'un a pu télécharger quelque chose d'un service cloud parce que vous avez partagé un lien raccourci non sécurisé Les liens raccourcis compromettent-ils votre sécurité? Les liens raccourcis compromettent-ils votre sécurité? Une étude récente a montré que la simplification des raccourcisseurs d’URL tels que bit.ly et goo.gl pouvait présenter un risque important pour votre sécurité. Est-il temps de quitter les outils de raccourcissement d'URL? Lire la suite . Ou peut-être avez-vous eu des ransomwares qui non seulement ont verrouillé votre ordinateur, mais également volé certains de vos fichiers.
Le but de tout cela est que les attaques par force brute ne sont pas efficaces à certains endroits, mais elles peuvent être déployées de nombreuses façons contre vos données. Le meilleur moyen d'éviter que vos données ne parviennent sur l'ordinateur d'un pirate informatique est de surveiller de près l'emplacement de vos appareils (en particulier les lecteurs flash!)..
Protéger contre les attaques par force brute
Il existe un certain nombre de moyens de défense que les sites Web ou les applications peuvent utiliser contre les attaques par force brute. Le verrouillage est l’un des plus simples et des plus couramment utilisés: si vous entrez un mot de passe incorrect plusieurs fois, le compte sera verrouillé et vous devrez contacter le service clientèle ou votre service informatique. Cela arrête une attaque par force brute sur ses traces.
Une tactique similaire peut être utilisée avec un défi CAPTCHA Tout ce que vous avez toujours voulu savoir sur les CAPTCHA sans avoir peur de demander [Technologie expliquée] Tout ce que vous avez toujours voulu savoir sur les CAPTCHA sans avoir peur de demander [Technologie Expliqué] Aimez-les ou détestez-les - Les CAPTCHA sont devenus omniprésents sur Internet. Qu'est-ce que c'est qu'un CAPTCHA, et d'où vient-il? Responsable de la fatigue visuelle dans le monde entier, le modeste CAPTCHA… Read More ou d'autres tâches similaires. Aucune de ces méthodes ne fonctionnera contre une attaque par force brute inversée, car un test de mot de passe échouera une fois pour chaque compte..
Une autre méthode qui peut être utilisée pour prévenir ces attaques (à la fois standard et inversées) est l'authentification à deux facteurs. Qu'est-ce que l'authentification à deux facteurs et pourquoi l'utiliser? L'authentification à deux facteurs et pourquoi l'utiliser L’authentification (2FA) est une méthode de sécurité qui requiert deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,… Lire la suite (2FA); même si un pirate informatique devine le bon mot de passe, l'exigence d'un autre code ou d'une autre saisie arrêtera une attaque, même si le mot de passe correct est trouvé. Heureusement, de plus en plus de services intègrent 2FA Lock Down. Ces services maintenant avec une authentification à deux facteurs. Verrouillez ces services maintenant avec une authentification à deux facteurs. L'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Jetons un coup d'œil à quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. Lisez plus dans leurs systèmes. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". Lisez plus, mais cela vous protégera contre beaucoup d'attaques.
Il convient de noter que si ces tactiques sont efficaces pour éviter les attaques par force brute, elles peuvent également être utilisées pour attaquer un site de différentes manières. Par exemple, si une attaque par force brute est lancée contre un site qui verrouille les comptes après cinq tentatives incorrectes, leur équipe du service clientèle pourrait être submergée d'appels, ce qui ralentirait le site. Il pourrait également être utilisé dans le cadre d'une attaque par déni de service distribué. Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle à chaque fois que le cyber-activisme surgit en masse. Ce type d'attaques fait les gros titres de la presse internationale pour plusieurs raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement… Read More .
De loin, le moyen le plus simple de se protéger contre une attaque par force brute consiste à utiliser un mot de passe long. À mesure que la longueur d'un mot de passe augmente, la puissance de calcul requise pour deviner toutes les combinaisons de caractères possibles augmente très rapidement. Dans un article sur les risques de sécurité liés aux raccourcisseurs d'URL, les chercheurs ont montré à quel point les jetons à cinq, six et sept caractères étaient faciles à deviner, alors que les jetons à 11 et 12 caractères étaient presque impossibles..
Vous pouvez appliquer la même logique à vos mots de passe. Utilisez des mots de passe forts 6 Conseils pour créer un mot de passe indestructible dont vous pouvez vous souvenir 6 Conseils pour créer un mot de passe indestructible que vous pouvez vous souvenir Si vos mots de passe ne sont pas uniques et incassables, vous pouvez également ouvrir la porte d'entrée et inviter les voleurs à déjeuner. Lire la suite et vous ne serez pratiquement pas immunisé contre les attaques par force brute.
Une attaque étonnamment efficace
Pour sa simplicité et son élégance - ça s'appelle “Force brute” pour une raison, après tout - ce type d'attaque peut être étonnamment efficace pour accéder aux zones cryptées et protégées par mot de passe. Mais maintenant que vous savez comment l’attaque fonctionne et comment vous pouvez vous protéger, ne vous inquiétez plus trop.!
Utilisez-vous une authentification à deux facteurs? Êtes-vous au courant d'autres bonnes défenses contre les attaques par force brute? Partagez vos idées et conseils ci-dessous!
Crédits image: TungCheung via Shutterstock, cunaplus via Shutterstock.
En savoir plus sur: la sécurité informatique, la sécurité en ligne, le mot de passe.