Comprendre les techniques de piratage de mot de passe utilisées par les pirates pour faire exploser vos comptes en ligne est un excellent moyen de vous assurer que cela ne vous arrivera jamais.
Vous aurez certainement toujours besoin de changer votre mot de passe, et parfois de manière plus urgente que vous ne le pensez, mais la protection contre le vol est un excellent moyen de rester au top de la sécurité de votre compte. Vous pouvez toujours vous rendre sur www.haveibeenpwned.com pour vérifier si vous êtes à risque, mais le simple fait de penser que votre mot de passe est suffisamment sécurisé pour ne pas être piraté est un mauvais état d'esprit.
Ainsi, pour vous aider à comprendre comment les pirates obtiennent vos mots de passe - sécurisés ou non - nous avons dressé une liste des dix principales techniques de piratage de mots de passe utilisées par les pirates. Certaines des méthodes ci-dessous sont certainement obsolètes, mais cela ne signifie pas qu'elles ne sont plus utilisées. Lisez attentivement et apprenez contre quoi atténuer.
Les dix principales techniques de piratage de mots de passe utilisées par les pirates
1. Hameçonnage
Il existe un moyen simple de pirater, demander à l'utilisateur son mot de passe. Un e-mail de phishing conduit le lecteur sans méfiance vers une page de connexion usurpée associée au service auquel le pirate souhaite accéder, généralement en demandant à l'utilisateur de résoudre un terrible problème de sécurité. Cette page parcourt ensuite leur mot de passe et le pirate peut l'utiliser à ses propres fins.
Pourquoi s'embêter à déchiffrer le mot de passe alors que l'utilisateur se fera un plaisir de vous le donner de toute façon ?
2. Ingénierie sociale
L'ingénierie sociale prend tout le concept "demander à l'utilisateur" en dehors de la boîte de réception que le phishing a tendance à coller avec et dans le monde réel.
Un favori de l'ingénieur social est d'appeler un bureau se faisant passer pour un technicien en sécurité informatique et de simplement demander le mot de passe d'accès au réseau. Vous seriez étonné de la fréquence à laquelle cela fonctionne. Certains ont même les gonades nécessaires pour enfiler un costume et un badge nominatif avant d'entrer dans une entreprise pour poser la même question face à face à la réceptionniste.
À maintes reprises, il a été démontré que de nombreuses entreprises n'ont pas mis en place une bonne sécurité ou que les gens sont trop amicaux et confiants alors qu'ils ne devraient pas l'être, comme donner aux gens l'accès à des endroits sensibles en raison d'un uniforme ou d'une histoire sanglante.
3. Logiciels malveillants
Les logiciels malveillants se présentent sous de nombreuses formes, telles qu'un enregistreur de frappe, également connu sous le nom de grattoir d'écran, qui enregistre tout ce que vous tapez ou prend des captures d'écran pendant un processus de connexion, puis transmet une copie de ce fichier à hacker central.
Certains logiciels malveillants recherchent l'existence d'un fichier de mot de passe client de navigateur Web et le copient, qui, à moins qu'il ne soit correctement crypté, contiendra des mots de passe enregistrés facilement accessibles à partir de l'historique de navigation de l'utilisateur.
4. Attaque de dictionnaire
L'attaque par dictionnaire utilise un simple fichier contenant des mots qui peuvent être trouvés dans un dictionnaire, d'où son nom plutôt simple. En d'autres termes, cette attaque utilise exactement le type de mots que de nombreuses personnes utilisent comme mot de passe.
Regrouper intelligemment des mots tels que "letmein" ou "superadministratorguy" n'empêchera pas votre mot de passe d'être déchiffré de cette façon - enfin, pas plus de quelques secondes supplémentaires.
5. Attaque de table arc-en-ciel
Les tables arc-en-ciel ne sont pas aussi colorées que leur nom l'indique mais, pour un pirate informatique, votre mot de passe pourrait bien se trouver à la fin. De la manière la plus simple possible, vous pouvez transformer une table arc-en-ciel en une liste de hachages précalculés - la valeur numérique utilisée lors du cryptage d'un mot de passe. Cette table contient les hachages de toutes les combinaisons de mots de passe possibles pour un algorithme de hachage donné. Les tables arc-en-ciel sont attrayantes car elles réduisent le temps nécessaire pour casser un hachage de mot de passe à simplement rechercher quelque chose dans une liste.
Cependant, les tables arc-en-ciel sont des choses énormes et peu maniables. Ils nécessitent une puissance de calcul importante pour fonctionner et une table devient inutile si le hachage qu'elle essaie de trouver a été "salé" par l'ajout de caractères aléatoires à son mot de passe avant de hacher l'algorithme.
On parle de tables arc-en-ciel salées existantes, mais celles-ci seraient si grandes qu'elles seraient difficiles à utiliser dans la pratique. Ils ne fonctionneraient probablement qu'avec un jeu de "caractères aléatoires" prédéfini et des chaînes de mot de passe inférieures à 12 caractères, car la taille de la table serait autrement prohibitive, même pour les pirates au niveau de l'État.
6. Araignée
Les pirates avisés ont réalisé que de nombreux mots de passe d'entreprise sont composés de mots liés à l'entreprise elle-même. L'étude de la littérature d'entreprise, du matériel de vente de sites Web et même des sites Web de concurrents et de clients répertoriés peut fournir les munitions nécessaires pour créer une liste de mots personnalisée à utiliser lors d'une attaque par force brute.
Des pirates vraiment avisés ont automatisé le processus et ont laissé une application de spidering, similaire aux robots d'indexation utilisés par les principaux moteurs de recherche pour identifier les mots-clés, puis collecter et rassembler les listes pour eux.
7. Craquage hors ligne
Il est facile d'imaginer que les mots de passe sont sûrs lorsque les systèmes qu'ils protègent verrouillent les utilisateurs après trois ou quatre tentatives erronées, bloquant les applications de devinettes automatisées. Eh bien, ce serait vrai s'il n'y avait pas le fait que la plupart des piratages de mots de passe ont lieu hors ligne, en utilisant un ensemble de hachages dans un fichier de mots de passe qui a été "obtenu" d'un système compromis.
Souvent, la cible en question a été compromise via un piratage sur un tiers, qui donne ensuite accès aux serveurs du système et à ces fichiers de hachage de mot de passe utilisateur très importants. Le cracker de mot de passe peut alors prendre le temps nécessaire pour essayer de déchiffrer le code sans alerter le système cible ou l'utilisateur individuel.
8. Attaque par force brute
Semblable à l'attaque par dictionnaire, l'attaque par force brute s'accompagne d'un bonus supplémentaire pour le pirate. Au lieu d'utiliser simplement des mots, une attaque par force brute leur permet de détecter des mots non-dictionnaires en travaillant sur toutes les combinaisons alphanumériques possibles de aaa1 à zzz10.
Ce n'est pas rapide, à condition que votre mot de passe comporte plus d'une poignée de caractères, mais il finira par découvrir votre mot de passe. Les attaques par force brute peuvent être raccourcies en ajoutant une puissance de calcul supplémentaire, en termes de puissance de traitement - y compris l'exploitation de la puissance du GPU de votre carte vidéo - et de nombres de machines, comme l'utilisation de modèles informatiques distribués comme les mineurs de bitcoins en ligne.
9. Surf d'épaule
Une autre forme d'ingénierie sociale, le surf sur l'épaule, consiste à jeter un coup d'œil par-dessus les épaules d'une personne pendant qu'elle saisit des informations d'identification, des mots de passe, etc. Bien que le concept soit très simple, vous seriez surpris du nombre de mots de passe et d'informations sensibles. est volé de cette façon, alors restez conscient de votre environnement lorsque vous accédez à des comptes bancaires, etc. lors de vos déplacements.
Les pirates les plus confiants prendront l'apparence d'un coursier de colis, d'un technicien de service de climatisation ou de toute autre chose leur permettant d'accéder à un immeuble de bureaux. Une fois à l'intérieur, «l'uniforme» du personnel de service fournit une sorte de laissez-passer gratuit pour se promener sans encombre et noter les mots de passe saisis par de véritables membres du personnel. Il offre également une excellente occasion de regarder tous ces post-it collés à l'avant des écrans LCD avec des identifiants griffonnés dessus.
10. Devinez
Le meilleur ami des pirates de mots de passe, bien sûr, est la prévisibilité de l'utilisateur. À moins qu'un mot de passe véritablement aléatoire n'ait été créé à l'aide d'un logiciel dédié à la tâche, il est peu probable qu'un mot de passe « aléatoire » généré par l'utilisateur soit quelque chose de ce genre.
Au lieu de cela, grâce à l'attachement émotionnel de notre cerveau aux choses que nous aimons, il y a de fortes chances que ces mots de passe aléatoires soient basés sur nos intérêts, nos loisirs, nos animaux de compagnie, notre famille, etc. En fait, les mots de passe ont tendance à être basés sur toutes les choses dont nous aimons discuter sur les réseaux sociaux et même inclure dans nos profils. Les pirates de mots de passe sont très susceptibles d'examiner ces informations et de faire quelques suppositions éclairées - souvent correctes - lorsqu'ils tentent de déchiffrer un mot de passe au niveau du consommateur sans recourir à des attaques par dictionnaire ou par force brute.
Autres attaques dont il faut se méfier
S'il manque quelque chose aux hackers, ce n'est pas la créativité. En utilisant une variété de techniques et en s'adaptant aux protocoles de sécurité en constante évolution, ces intrus continuent de réussir.
Par exemple, n'importe qui sur les médias sociaux a probablement vu les quiz et les modèles amusants vous demandant de parler de votre première voiture, de votre nourriture préférée, de la chanson numéro un de votre 14e anniversaire. Bien que ces jeux semblent inoffensifs et qu'ils soient certainement amusants à publier, ils constituent en fait un modèle ouvert pour les questions de sécurité et les réponses à la vérification de l'accès au compte.
Lors de la création d'un compte, essayez peut-être d'utiliser des réponses qui ne vous concernent pas réellement, mais dont vous vous souviendrez facilement. "Quel était votre première voiture?" Au lieu de répondre honnêtement, mettez la voiture de vos rêves à la place. Sinon, ne publiez simplement aucune réponse de sécurité en ligne.
Une autre façon d'y accéder consiste simplement à réinitialiser votre mot de passe. La meilleure ligne de défense contre un intrus réinitialisant votre mot de passe consiste à utiliser une adresse e-mail que vous consultez fréquemment et à mettre à jour vos coordonnées. Si disponible, activez toujours l'authentification à 2 facteurs. Même si le pirate apprend votre mot de passe, il ne peut pas accéder au compte sans un code de vérification unique.
Meilleures pratiques pour vous protéger des pirates
Questions fréquemment posées
Pourquoi ai-je besoin d'un mot de passe différent pour chaque site ?
Vous savez probablement que vous ne devriez pas donner vos mots de passe et que vous ne devriez pas télécharger de contenu avec lequel vous n'êtes pas familier, mais qu'en est-il des comptes auxquels vous vous connectez tous les jours ? Supposons que vous utilisiez le même mot de passe pour votre compte bancaire que vous utilisez pour un compte arbitraire comme Grammarly. Si Grammarly est piraté, l'utilisateur dispose alors également de votre mot de passe bancaire (et éventuellement de votre adresse e-mail, ce qui facilite encore plus l'accès à toutes vos ressources financières).
Que puis-je faire pour protéger mes comptes ?
L'utilisation de 2FA sur tous les comptes qui offrent la fonctionnalité, l'utilisation de mots de passe uniques pour chaque compte et l'utilisation d'un mélange de lettres et de symboles est la meilleure ligne de défense contre les pirates. Comme indiqué précédemment, il existe de nombreuses façons différentes pour les pirates d'accéder à vos comptes, vous devez donc vous assurer que vous faites régulièrement la mise à jour de vos logiciels et applications (pour les correctifs de sécurité) et en évitant les téléchargements avec lesquels vous n'êtes pas familier.
Quel est le moyen le plus sûr de conserver les mots de passe ?
Se tenir au courant de plusieurs mots de passe uniques et étranges peut être incroyablement difficile. Bien qu'il soit de loin préférable de passer par le processus de réinitialisation du mot de passe que de compromettre vos comptes, cela prend du temps. Pour protéger vos mots de passe, vous pouvez utiliser un service comme Last Pass ou KeePass pour enregistrer tous les mots de passe de votre compte.
Vous pouvez également utiliser un algorithme unique pour conserver vos mots de passe tout en les mémorisant plus facilement. Par exemple, PayPal pourrait être quelque chose comme hwpp+c832. Essentiellement, ce mot de passe est la première lettre de chaque rupture dans l'URL (https://www.paypal.com) avec le dernier numéro de l'année de naissance de tout le monde dans votre maison (juste à titre d'exemple). Lorsque vous allez vous connecter à votre compte, visualisez l'URL qui vous donnera les premières lettres de ce mot de passe.
Ajoutez des symboles pour rendre votre mot de passe encore plus difficile à pirater, mais organisez-les de manière à ce qu'ils soient plus faciles à retenir. Par exemple, le symbole "+" peut être pour tous les comptes liés au divertissement tandis que le "!" peut être utilisé pour les comptes financiers.
Pratiquer la sécurité en ligne
À une époque mondiale où les communications peuvent avoir lieu à travers le monde apparemment en un instant, il est important de se rappeler que tout le monde n'a pas de bonnes intentions. Protégez-vous en ligne en gérant et en mettant à jour activement vos mots de passe et la sensibilisation aux fuites d'informations sur les réseaux sociaux. Partager est bienveillant, mais pas des informations personnelles dans le but de devenir une cible facile pour les cybercriminels.
Les histoires Instagram sont devenues la méthode incontournable pour accroître l'engagement et fournir aux abonnés du contenu en coulisses ou spontané. Depuis
Qu'il s'agisse de créer un contenu amusant sur une mélodie tendance de TikTok ou un extrait promotionnel mettant en valeur votre marque, CapCut peut vous aider à bien faire les choses.
Si vous passez beaucoup de temps en ligne, il y a de fortes chances que vous ayez découvert la boucle de captcha humain de Cloudflare. Cette mesure de sécurité a plusieurs causes,
Les statistiques et les analyses sont des éléments importants de YouTube. La plateforme garde une trace de plusieurs réalisations, y compris les vidéos avec le plus
La collaboration « Fortnite » et « Star Wars » a apporté aux joueurs des pouvoirs de Force spéciaux et des quêtes « Star Wars ». Les pouvoirs de la Force sont apparus avec le chapitre 4,
La plate-forme Twitch a la possibilité de vous protéger contre tout langage nuisible, offensant et abusif dans le chat. Pour les jeunes utilisateurs, il est conseillé d'avoir
https://www.youtube.com/watch?v=Pt48wfYtkHE Google Docs est un excellent outil de collaboration car il permet à plusieurs personnes de modifier et de travailler sur un seul fichier.
Vous pouvez utiliser plusieurs méthodes pour découper des formes dans Adobe Illustrator. En effet, de nombreux objets ne sont pas créés de la même manière. Malheureusement,
Avez-vous déjà reçu la notification « Ce numéro de téléphone est banni » dans Telegram ? Si tel est le cas, vous vous demandez peut-être ce que cela signifie. Telegram a des restrictions
Snapchat est une plateforme sociale populaire qui permet aux utilisateurs de publier des clips vidéo publiquement et d'envoyer des messages directement à d'autres utilisateurs. Si quelqu'un ne répond pas
Obtenir un Désolé, vous ne pouvez envoyer des messages qu'à des contacts communs pour le moment. Une erreur dans Telegram peut être décevante lorsque vous contactez un nouveau contact.
Si vous souhaitez créer une présentation pour téléphones mobiles, vous devrez modifier la mise en page en verticale dans Google Slides. Google Slides est destiné à
Obsidian propose une plateforme de création et de gestion de liens entre ressources, notes et idées. Créer des liens dans Obsidian vous aide à débloquer de nouveaux niveaux de
Fusionner deux visages complètement différents à partir de photographies est toujours une excellente façon de s'amuser. Mélanger deux images distinctes pour créer un tout nouveau look a
https://www.youtube.com/watch?v=ptR9NfE8FVw Les chaînes Discord sont ce qui rend l'application Discord divertissante. Que ce soit une chaîne de texte pleine de mèmes
Mis à jour le 19 octobre 2023 Parfois, la vie fait obstacle à nos objectifs en matière de médias sociaux. Vous avez probablement eu ces moments où vous tapez sur votre téléphone,
Bien qu'il soit possible de désactiver les appels sur WhatsApp, cette option n'est pas facile à trouver dans l'application à moins que vous n'apportiez quelques modifications. De nombreux utilisateurs choisissent de
Le plus gros problème rencontré par les utilisateurs de Roblox est de rester coincé dans un jeu. Cela est dû à la navigation dans l'interface utilisateur que vous avez peut-être accidentellement activée pendant que vous
https://www.youtube.com/watch?v=srNFChLxl5c Les moments forts d'Instagram sont un excellent moyen de vous rapprocher de vos abonnés. Vous pouvez partager vos moments privilégiés
Si vous utilisez une application de messagerie pour rester en contact avec votre famille et vos amis, vous connaissez déjà Facebook Messenger et WhatsApp. Les deux sont gratuits,
