Comprendre ces sept attaques contre les mots de passe et savoir les arrêter
Publié par Specops le - mis à jour à
Les pirates informatiques sont toujours à la recherche de nouvelles façons de déchiffrer les mots de passe et d'accéder aux données et aux systèmes de votre organisation. Comment pouvez-vous vous assurer que vous engagez les bonnes mesures pour défendre votre entreprise ?
Dans cet article, nous allons explorer les sept types d'attaques contre les mots de passe les plus courants et vous fournirons des conseils sur la façon de vous en défendre. En comprenant les tactiques des pirates et en apprenant les meilleures pratiques pour les arrêter, vous serez en mesure de renforcer la sécurité globale de votre organisation.
Les attaques par force brute
Lors d'une attaque par force brute, les pirates utilisent des outils automatisés pour vérifier méthodiquement toutes les combinaisons de mots de passe possibles jusqu'à ce qu'ils trouvent la bonne. Si la sophistication leur fait défaut, ils la compensent par avec une incroyable persévérance : les attaques par force brute peuvent être étonnamment efficaces, en particulier contre les mots de passe faibles ou courts.
Comment prévenir une attaque par force brute :
Les attaques par dictionnaire
Dans une attaque par dictionnaire, les pirates utilisent des listes de mots, d'expressions et de mots de passe couramment utilisés, ainsi que des mots de passe précédemment divulgués, pour tenter d'obtenir un accès non autorisé. Cela peut considérablement accélérer les techniques de force brute lorsqu'elles sont combinées dans une attaque hybride.
Comment prévenir une attaque par dictionnaire :
La pulvérisation de mots de passe
Les pirates informatiques utilisent des techniques de pulvérisation de mots de passe pour éviter d'être détectés et contourner les paramètres de verrouillage de compte. Plutôt que d'effectuer plusieurs tentatives sur un même compte, les attaquants utilisent un petit ensemble de mots de passe communs contre de nombreux comptes. En élargissant leurs tentatives, les pirates informatiques parviennent souvent à passer sous le radar des mesures de sécurité traditionnelles.
Comment prévenir une attaque par pulvérisation de mots de passe :
Credential stuffing
Technique de piratage informatique très efficace, le « credential stuffing » consiste pour les kackers à utiliser la combinaison compromise nom d'utilisateur/mot de passe d'un service pour tenter d'accéder à d'autres services, profitant de la tendance humaine à réutiliser les informations d'identification sur plusieurs comptes.
Comment éviter une attaque de type credential stuffing :
Le phishing ou hameçonnage
Les attaques de phishing peuvent être extrêmement sophistiquées, imitant un service ou un site légitime pour inciter les gens à effectuer des actions ou à divulguer des informations confidentielles. Les pirates informatiques hameçonnent leurs victimes de diverses manières, notamment par courrier électronique et par SMS.
Comment prévenir une attaque par hameçonnage :
Keylogger attack
Les attaques par keylogger font partie des types d'attaques contre les mots de passe les plus dangereux. Lors d'une attaque par enregistreur de frappe, un pirate utilise un logiciel ou du matériel pour enregistrer chaque frappe effectuée par un utilisateur, y compris les numéros de carte de crédit ou les mots de passe qu'il saisit. Ces attaques sont particulièrement insidieuses car elles peuvent capturer les mots de passe les plus complexes qui pourraient résister à d'autres formes d'attaque.
Comment prévenir une attaque par keylogger :
L'ingénierie sociale
« Hello Amy. Ici Darren du support informatique. Nous rencontrons des problèmes avec les ordinateurs de votre service. Je sais qu'il est presque 17 heures, mais pouvez-vous cliquer sur le lien que je viens de vous envoyer par e-mail et confirmer que vous arrivez à vous connecter ? »
Les attaques d'ingénierie sociale ont recours à diverses techniques pour manipuler les gens afin qu'ils effectuent des actions ou divulguent des informations confidentielles. Ces attaques créent souvent un sentiment d'urgence ou d'autorité, poussant les destinataires à agir rapidement sans vérifier la légitimité de la demande.
Comment prévenir une attaque d'ingénierie sociale :
Bonnes pratiques supplémentaires
Lorsque vous préparez la défense de votre organisation contre les attaques de mots de passe, n'oubliez pas de mettre en oeuvre les bonnes pratiques suivantes :
Se défendre contre les attaques de mots de passe
Specops Password Policy peut vous aider à bloquer en permanence plus de 4 milliards de mots de passe uniques compromis connus, à appliquer facilement la conformité et à réduire la charge de votre helpdesk en offrant aux utilisateurs finaux une meilleure expérience en matière de sécurité. Vous souhaitez en savoir plus sur la création d'une défense multicouche contre les attaques basées sur les informations d'identification ? Contactez un expert Specops.