loader

Quelle est la force de vos mots de passe d’entreprise pour les connexions et les serveurs de votre site ? Dans quelle mesure vos politiques de mot de passe sont-elles strictes pour les employés ? Selon De meilleurs achats, les mots de passe contenant seulement huit caractères minuscules peuvent être déchiffrés en cinq heures. Heureusement, les temps augmentent de façon exponentielle avec le nombre de caractères, donc un mot de passe à douze caractères prendrait deux siècles.

 

Bien sûr, tout cela est théorique, mais l’essentiel est le suivant : si vous souhaitez garder le contrôle de vos données et de vos systèmes, ayez un mot de passe fort. Parce que sans cela, vous êtes sensible à une attaque par force brute.

Qu’est-ce qu’une attaque par force brute ?

Une attaque par force brute est un type de cyberattaque où les pirates tentent une longue liste de mots de passe pour accéder à votre site/serveur. Ces listes contiennent des millions de mots de passe différents et elles peuvent exécuter des scripts qui enverront des demandes de publication au site/serveur jusqu’à ce qu’ils obtiennent la confirmation qu’ils se sont connectés avec succès.

Comme vous le lisez dans l’exemple ci-dessus, les ordinateurs peuvent désormais déchiffrer les mots de passe beaucoup plus rapidement qu’auparavant avec des avantages technologiques. Pour cette raison, vous verrez des règles lors de la création de nouveaux comptes selon lesquelles votre mot de passe doit comporter plus de 8 caractères et doit inclure des lettres majuscules, des chiffres et des symboles.

Quels sont les objectifs d’une attaque par force brute ?

Les objectifs des attaques par force brute diffèrent d’une personne à l’autre. Les cinq objectifs les plus courants des attaques par force brute sont les suivants :

  1. Voler vos informations personnelles.
  2. Utilisez vos informations d’identification pour le bourrage d’informations d’identification.
  3. Utilisez vos informations pour le phishing.
  4. Ruiner la réputation de votre organisation.
  5. Compromettez votre (vos) site(s) Web.

Tous les objectifs mentionnés peuvent être utilisés par le même pirate informatique pour faire autant de dégâts qu’il le peut. Les entreprises qui sont violées ont du mal à se rétablir, avec 60% des petites et moyennes entreprises (PME) qui ferment dans les six mois suivant une violation.

Il y a un côté positif aux attaques par force brute. Certaines entreprises testent la sécurité du réseau et vérifient la force du cryptage utilisé sur le réseau. Par exemple, un réseau bancaire doit être sécurisé autant que possible, afin qu’ils testent toujours leur sécurité pour empêcher le vol de données ou d’argent.

Comment reconnaître une attaque par force brute ?

Les attaques par force brute peuvent être reconnues en recherchant plusieurs tentatives de connexion infructueuses à partir de la même adresse IP ou une augmentation de la charge sur votre serveur à partir d’un afflux de demandes de publication sur votre site. Vous voudrez surveiller votre site de près ou acheter un hébergement auprès d’un fournisseur de cloud géré pour gérer la surveillance pour vous. Assurez-vous que le support inclut une surveillance proactive afin que quelqu’un soit à la barre 24/7/365 pour protéger votre site.

Quels sont les types d’attaques par force brute ?

Il existe quatre types différents d’attaques par force brute. La seule différence entre les types d’attaques par force brute est l’approche adoptée pour déchiffrer votre mot de passe. L’objectif principal reste le même : pirater votre site pour des activités malveillantes.

1. Attaque par dictionnaire

Une attaque par dictionnaire commence par les mots de passe les plus courants et passe par une liste de mots de passe dans le dictionnaire, et est le type d’attaque le plus basique.

2. Bourrage d’identifiants

Le bourrage d’informations d’identification, également connu sous le nom de recyclage des informations d’identification, réutilise les informations d’identification d’autres violations de données pour accéder à d’autres endroits où vous avez utilisé les mêmes informations d’identification. C’est pourquoi il est extrêmement important d’avoir un mot de passe différent pour les e-mails, Facebook, PayPal, Amazon, etc.

3. Force brute inversée

Une attaque par force brute inversée utilise des mots de passe courants et passe par une liste de noms d’utilisateur possibles. Un utilisateur sur un million aura un mot de passe comme « password » (si le site autorise ce mot de passe). D’autres mots de passe, tels que 123456 ou qwerty, sont extrêmement faibles et susceptibles d’être attaqués. Si vous utilisez l’un de ces mots de passe pour l’un de vos sites, modifiez-le maintenant.

4. Force brute hybride

Une attaque par force brute hybride combine généralement les mots de passe les plus courants avec des caractères aléatoires. Ce type d’attaque devinerait alors « password123 », « 123456abc ».

Les cinq étapes pour prévenir une attaque par force brute

Pour avoir une meilleure idée de la façon dont les choses fonctionnent, vous pouvez comparer le serveur ou le site avec votre maison, votre famille et vos amis avec les utilisateurs tout en comparant les pirates informatiques avec les voleurs. Ouvrir la porte d’entrée avec la bonne clé permettra à vos amis et à votre famille de vous rendre visite à tout moment, mais cela permettra également aux voleurs d’essayer de crocheter la serrure de votre porte d’entrée. Il n’y a pas de solution permanente qui soit 100% sécurisée, et à chaque bon avantage technologique, il y a un inconvénient. Mais il existe des mesures spécifiques que vous pouvez prendre pour rester aussi sécurisé que possible.

Voici les cinq principales étapes pour empêcher une attaque par force brute :

1. Utilisez des mots de passe forts

L’utilisation de mots de passe forts est le moyen le plus efficace d’empêcher une attaque par force brute. Chaque caractère supplémentaire de votre mot de passe augmentera le temps d’accès à votre compte, donc l’ajout d’un symbole de lettre supplémentaire à la fin rendrait votre mot de passe plus sécurisé que votre mot de passe actuel. Essayez d’utiliser une combinaison de lettres, de chiffres, de majuscules et de caractères spéciaux dans chaque mot de passe. Vous pouvez également essayer d’utiliser des phrases secrètes, qui sont plusieurs mots collés ensemble. Si vous ne voulez retenir qu’un mot de passe difficile, utilisez un gestionnaire de mots de passe pour gérer tous vos mots de passe pour vous.

2. Activer l’authentification à deux facteurs

Si vous ne souhaitez pas utiliser de mots de passe forts, une autre façon d’empêcher les attaques par force brute et les violations consiste à configurer l’authentification à deux facteurs (2FA). Cela vous permettra de vous connecter comme vous le feriez partout ailleurs, mais cette étape supplémentaire d’envoi d’une notification sur votre téléphone pour confirmer votre identité empêchera les pirates de s’introduire dans votre compte. La 2FA basée sur l’application est préférable aux notifications basées sur du texte, mais l’une ou l’autre est meilleure que d’avoir un mot de passe seul.

3. Limiter le nombre de tentatives infructueuses

Une autre façon de sécuriser vos comptes est de restreindre le nombre de tentatives infructueuses d’accès à votre site ou à votre serveur. Celui-ci est une épée à double tranchant. Avec un nombre de tentatives limité, vous comptez sur vos employés et clients pour ne jamais oublier leurs mots de passe.

4. Restreindre l’accès à partir d’autres adresses IP

En refusant l’accès à votre compte administrateur sur votre serveur à partir de chaque IP sauf votre propre IP, vous empêcherez toute attaque sur votre serveur. Vous serez également le seul à pouvoir vous connecter jusqu’à ce que votre IP change le lendemain. Oui, vous pouvez toujours contacter l’assistance pour ajouter votre adresse IP à la liste blanche, mais cela peut être évité si vous obtenez une adresse IP statique de votre fournisseur de services Internet. Une adresse IP statique peut être extrêmement efficace si vous avez configuré les autorisations appropriées pour tous vos administrateurs de serveur.

5. Activer CAPTCHA

L’activation de CAPTCHA empêchera tout bot/script de publier trop de demandes en peu de temps. C’est un bon moyen de sécuriser vos pages de connexion et vos formulaires de contact pour éviter le spam et l’augmentation de la charge sur votre serveur.

Mots de passe forts Vaincre les attaques par force brute

En conclusion, lors de la création d’un nouveau compte, mettez-vous dans la peau d’un pirate informatique et pensez au nombre d’essais qu’il faudrait pour déchiffrer votre mot de passe. Si quelqu’un s’introduit dans ce compte, où d’autre peut-il réutiliser le même nom d’utilisateur et le même mot de passe ? Les attaques par force brute arrivent tous les jours à de nombreuses personnes à leur insu, et il est beaucoup plus facile de les empêcher au début alors que vous contrôlez toujours votre compte.

Photo Pixabay : AbsolutVision

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *