Apprenez ce qu’est la pulvérisation de mots de passe et comment nous protéger
Les attaques par mot de passe par force brute se caractérisent par des centaines de milliers de tentatives pour deviner le mot de passe d’un compte et y accéder. Cependant, il y en a un autre qui peut affecter beaucoup plus d’utilisateurs à la fois. C’est ce qu’on appelle la pulvérisation de mots de passe et nous insisterons sur l’importance de ne pas utiliser de mots de passe courants et faciles à deviner.
Qu’est-ce que la pulvérisation de mot de passe
Chaque fois que nous créons un mot de passe, nous devons prendre en compte une série de directives pour le rendre fort et complexe. Le tout dans le but de rendre difficile l’entrée d’éventuels intrus. Cependant, la réalité est que les utilisateurs ne le font pas toujours. Password Spraying profite précisément de cela. Il utilise les mots de passe courants et faibles que les utilisateurs utilisent pour accéder à leurs comptes. Par exemple, le mot de passe 123456 est toujours l’un des plus utilisés. En fin de compte, les attaques par pulvérisation de mot de passe sont basées sur des erreurs commises par les utilisateurs . Insouciance lors de la génération de mots de passe. Il convient de mentionner que la probabilité d’utiliser ce type de mot de passe est assez élevée.
Rien qu’en obtenant un mot de passe commun, on peut avoir accès à plusieurs comptes en une seule fois. Cela permet à Password Spraying d’être transparent et de contourner les mesures de sécurité telles que les multiples tentatives de verrouillage de votre compte. Jusqu’à présent, nous découvrons fréquemment la fuite de longues listes d’utilisateurs et de mots de passe. Parmi ces enregistrements, il est possible d’appliquer des techniques de manipulation de données, ou simplement de filtrer les enregistrements en fonction des mots de passe que nous pouvons trouver. Par exemple, l’attaquant peut avoir la possibilité de pirater 10 000 comptes à l’aide d’un simple mot de passe, qu’il s’agisse de « password123 » ou de « password ».
Si vous êtes en charge de la gestion des utilisateurs dans une entreprise avec Windows Active Directory , il est conseillé d’appliquer l’utilisation de la liste noire des mots de passe. Il existe des outils qui vérifient les mots de passe des utilisateurs et les recoupent avec une liste de mots de passe vulnérables, le produit de diverses fuites de données personnelles antérieures. De cette façon, il est possible de quantifier les comptes qui utilisent des mots de passe faibles.
Auditeur de mots de passe SpecOps : outil puissant et facile à utiliser
Il n’a aucun coût d’accès et comme il est en lecture seule , en quelques clics vous aurez accès à un tableau de bord qui vous donnera l’aperçu dont vous avez besoin sur les comptes et leurs mots de passe. Les informations que vous parvenez à collecter deviennent des rapports interactifs qui, en plus des comptes et des mots de passe, spécifient le type de stratégie qu’ils appliquent, s’ils le font. Voici les types de rapports que vous pouvez obtenir grâce à ce logiciel sous licence gratuit :
- Comptes administrateur inactifs
- Comptes avec mots de passe expirés
- Comptes avec des mots de passe sur le point d’expirer
- Comptes avec des mots de passe identiques
- Comptes qui n’ont pas besoin de mots de passe
- Comptes qui nécessitent une longueur de caractères minimale pour leurs mots de passe
Comment éviter d’être victime de la pulvérisation de mots de passe
En tant qu’utilisateurs finaux, nous devons avoir une formation orientée sécurité et mettre en pratique au jour le jour les astuces pour créer des clés sécurisées , indispensables pour éviter les problèmes avec nos comptes. Si dans votre bureau ou ailleurs, il existe des opportunités de vous renseigner sur la sécurité et la confidentialité de nos données et sur la façon de nous protéger, vous devriez en profiter. Toute application que vous utilisez et qui a la possibilité d’activer l’authentification multifacteur, vous devez le faire. De plus, un autre conseil important est de ne jamais utiliser le même mot de passe à plusieurs endroits. S’ils le découvrent, d’autres comptes pourraient être en danger.
On peut conclure, sans crainte d’erreur, que le principal risque pour la sécurité de nos données personnelles est nous – mêmes . Prendre quelques minutes au maximum pour penser à un mot de passe vraiment fort et aux étapes pour le protéger ou le récupérer fait toute la différence. Le Password Spraying est l’une des nombreuses attaques dont nous pourrions être victimes.