Page d'accueil Sécurité Que sont les attaques par force brute et comment vous protéger?

Que sont les attaques par force brute et comment vous protéger?

  • Brian Curtis
  • 0
  • 4994
  • 610
Publicité

Si vous lisez régulièrement nos articles sur la sécurité - comme celui-ci, sur le test de la force de votre mot de passe Testez votre force de mot de passe avec le même outil Utilisez les mots clés de votre mot de passe avec le même outil Utilisez-vous votre mot de passe est-il sécurisé? Les outils qui évaluent la force de votre mot de passe ont une précision médiocre, ce qui signifie que le seul moyen de vraiment tester vos mots de passe est d'essayer de les casser. Regardons comment. - vous avez probablement entendu la phrase “attaque de force brute.” Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir.

Attaques par force brute: l'essentiel

Au fond, une attaque par force brute est très simple: un programme informatique essaie de deviner un mot de passe ou une clé de cryptage en effectuant une itération de toutes les combinaisons possibles d’un certain nombre de caractères. Par exemple, supposons que vous avez écrit une application qui a tenté de forcer brutalement un mot de passe iPhone à quatre chiffres. Il pourrait deviner 1111, puis 1112, puis 1113, 1114, 1115, et ainsi de suite jusqu'à 9999.

Le même principe peut être appliqué avec des mots de passe plus compliqués. Un algorithme de force brute peut commencer par aaaaaa, aaaaab, aaaaaac, puis passer aux choses suivantes: aabaa1, aabaa2, aabaa3, etc., à travers toutes les combinaisons de chiffres et de lettres de zzzzzz, zzzzz1 et au-delà..

Il existe également une technique connue sous le nom d’attaque par force brute inversée, dans laquelle un mot de passe est essayé contre de nombreux noms d’utilisateur différents. Ceci est moins courant et plus difficile à utiliser avec succès, mais il contourne certaines contre-mesures courantes..

Comme vous pouvez le constater, c’est une façon assez peu élégante de deviner un mot de passe. Cependant, théoriquement, si vous disposiez de suffisamment de puissance de calcul et d’énergie, vous pourriez deviner n’importe quel mot de passe. Mais si vous utilisez autre chose qu'un mot de passe court et simple, vous n'avez pas à vous inquiéter, car la quantité de puissance informatique qu'il faudrait pour deviner un mot de passe plus long nécessiterait une énorme quantité d'énergie et pourrait prendre des années. compléter.

Attaques de force brute avancées

Parce que les attaques par force brute sur des mots de passe très simples sont lamentablement inefficaces et prennent beaucoup de temps, les pirates informatiques ont mis au point des outils qui les rendent plus efficaces..

Une attaque par dictionnaire, par exemple, ne se contente pas de parcourir toutes les combinaisons de caractères possibles; il utilise des mots, des nombres ou des chaînes de caractères provenant d'une liste pré-compilée que le pirate informatique estime être au moins un peu plus susceptible que la moyenne de s'afficher dans un mot de passe (c'est le type d'attaque que vous pouvez mener avec une pénétration de réseau assez simple logiciel de test Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits Comment tester la sécurité de votre réseau domestique avec des outils de piratage gratuits Aucun système ne peut être entièrement "preuve de piratage", mais les tests de sécurité du navigateur et les protections réseau peuvent rendre votre configuration plus robuste. ces outils gratuits pour identifier les "points faibles" de votre réseau domestique.).

Par exemple, une attaque par dictionnaire peut utiliser plusieurs mots de passe courants avant de lancer une attaque par force brute standard, telle que “mot de passe,” “mon mot de passe,” “laisse moi entrer,” etc. Ou cela pourrait ajouter “2016” à la fin de tous les mots de passe qu'il essaie avant de passer au mot de passe suivant.

Il existe différentes méthodes d’utilisation des attaques par force brute, mais elles reposent toutes sur l’essai le plus rapidement possible d’un grand nombre de mots de passe jusqu’à ce que le bon soit trouvé. Certains nécessitent plus de puissance de calcul mais permettent de gagner du temps; certains sont plus rapides, mais nécessitent une plus grande quantité de stockage lors de l'attaque.

Lorsque les attaques par force brute sont dangereuses

Les attaques par force brute peuvent être utilisées sur tout ce qui a un mot de passe ou une clé de cryptage, mais de nombreux endroits où ils pourraient l'être ont déployé des contre-mesures efficaces (comme vous le verrez dans la section suivante)..

Si vous perdez vos données et qu'un pirate informatique les met en danger, vous êtes le plus menacé par une attaque en force brute. Une fois qu'elles sont stockées sur leur ordinateur, vous pouvez contourner certaines des mesures de protection mises en place sur votre ordinateur ou en ligne..

Comment un scélérat pourrait-il obtenir vos données sur leur ordinateur? Vous pourriez perdre une clé USB, peut-être en la laissant dans la poche de vos vêtements que vous avez envoyé à un nettoyeur à sec, comme les 4 500 clés USB trouvées en 2009 au Royaume-Uni. Ou, comme les 12 500 autres appareils trouvés, vous pouvez laisser un téléphone ou un ordinateur portable dans un taxi. C'est une chose facile à faire.

Ou peut-être que quelqu'un a pu télécharger quelque chose à partir d'un service cloud parce que vous partagiez un lien raccourci non sécurisé Les liens raccourcis compromettent-ils votre sécurité? Les liens raccourcis compromettent-ils votre sécurité? Une étude récente a montré que la simplification des raccourcisseurs d’URL tels que bit.ly et goo.gl pouvait présenter un risque important pour votre sécurité. Est-il temps de quitter les outils de raccourcissement d'URL? . Ou peut-être avez-vous eu des ransomwares qui non seulement ont verrouillé votre ordinateur, mais également volé certains de vos fichiers.

Le but de tout cela est que les attaques par force brute ne sont pas efficaces à certains endroits, mais elles peuvent être déployées de nombreuses façons contre vos données. Le meilleur moyen d'éviter que vos données ne parviennent sur l'ordinateur d'un pirate informatique est de surveiller de près l'emplacement de vos appareils (en particulier les lecteurs flash!)..

Protéger contre les attaques par force brute

Il existe un certain nombre de moyens de défense que les sites Web ou les applications peuvent utiliser contre les attaques par force brute. Le verrouillage est l’un des plus simples et des plus couramment utilisés: si vous entrez un mot de passe incorrect plusieurs fois, le compte sera verrouillé et vous devrez contacter le service clientèle ou votre service informatique. Cela stoppe une attaque par force brute.

Une tactique similaire peut être utilisée avec un défi CAPTCHA Tout ce que vous avez toujours voulu savoir sur les CAPTCHA sans avoir peur de demander [Technologie expliquée] Tout ce que vous avez toujours voulu savoir sur les CAPTCHA mais ayant peur de demander [Technologie Expliqué] Aimez-les ou détestez-les - Les CAPTCHA sont devenus omniprésents sur Internet. Qu'est-ce qu'un CAPTCHA, et d'où vient-il? Responsable de la fatigue visuelle dans le monde entier, de l'humble CAPTCHA… ou d'autres tâches similaires. Aucune de ces méthodes ne fonctionnera contre une attaque par force brute inversée, car un test de mot de passe échouera une fois pour chaque compte..

Une autre méthode qui peut être utilisée pour empêcher ces attaques (standard et inversées) est l'authentification à deux facteurs. Qu'est-ce qu'une authentification à deux facteurs? Pourquoi devriez-vous l'utiliser? Authentification à deux facteurs et Pourquoi l'utiliser? À deux facteurs L’authentification (2FA) est une méthode de sécurité qui requiert deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement la carte,… (2FA); Même si un pirate informatique devine le bon mot de passe, l'exigence d'un autre code ou d'une autre saisie arrêtera une attaque, même si le mot de passe correct est trouvé. Heureusement, de plus en plus de services intègrent 2FA Lock Down. Ces services maintenant avec une authentification à deux facteurs. Verrouillez ces services maintenant avec une authentification à deux facteurs. L'authentification à deux facteurs est le moyen intelligent de protéger vos comptes en ligne. Examinons quelques-uns des services que vous pouvez verrouiller avec une meilleure sécurité. dans leurs systèmes. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings secrets garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackages garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". , mais cela vous protégera contre beaucoup d'attaques.

Il convient de noter que si ces tactiques sont efficaces pour éviter les attaques par force brute, elles peuvent également être utilisées pour attaquer un site de différentes manières. Par exemple, si une attaque par force brute est lancée contre un site qui verrouille les comptes après cinq tentatives incorrectes, son équipe du service clientèle pourrait être submergée d'appels, ce qui ralentirait le site. Il pourrait également être utilisé dans le cadre d'une attaque par déni de service distribué. Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Qu'est-ce qu'une attaque DDoS? [MakeUseOf explique] Le terme DDoS siffle à chaque fois que le cyber-activisme surgit en masse. Ce type d'attaques fait les gros titres de la presse internationale pour plusieurs raisons. Les problèmes qui déclenchent ces attaques DDoS sont souvent controversés ou hautement… .

De loin, le moyen le plus simple de se protéger contre une attaque par force brute consiste à utiliser un mot de passe long. À mesure que la longueur d'un mot de passe augmente, la puissance de calcul nécessaire pour deviner toutes les combinaisons de caractères possibles augmente très rapidement. Dans un article sur les risques de sécurité liés aux raccourcisseurs d'URL, les chercheurs ont montré à quel point les jetons à cinq, six et sept caractères étaient faciles à deviner, alors que les jetons à 11 et 12 caractères étaient presque impossibles..

Vous pouvez appliquer la même logique à vos mots de passe. Utilisez des mots de passe forts 6 Conseils pour créer un mot de passe indestructible dont vous pouvez vous souvenir 6 Conseils pour créer un mot de passe indestructible que vous pouvez vous rappeler Si vos mots de passe ne sont pas uniques et incassables, vous pouvez également ouvrir la porte d'entrée et inviter les voleurs à déjeuner. et vous serez presque à l'abri des attaques par force brute.

Une attaque étonnamment efficace

Pour sa simplicité et son élégance - ça s'appelle “Force brute” pour une raison, après tout - ce type d'attaque peut être étonnamment efficace pour accéder aux zones cryptées et protégées par mot de passe. Mais maintenant que vous savez comment l’attaque fonctionne et comment vous pouvez vous protéger, ne vous inquiétez plus trop.!

Utilisez-vous une authentification à deux facteurs? Êtes-vous au courant d'autres bonnes défenses contre les attaques par force brute? Partagez vos idées et conseils ci-dessous!

Crédits image: TungCheung via Shutterstock, cunaplus via Shutterstock.




Personne n'a encore commenté ce post.

Enregistrer des données lors de l'utilisation de Facebook avec cette fonctionnalité géniale
Des médias sociaux
8 astuces pour avoir plus de vrais disciples sur Instagram
Des médias sociaux
7 styles de selfies qui rendront votre photo virale
Des médias sociaux
De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.