Définition de l’attaque par pulvérisation de mot de passe et défense de soi

Les deux méthodes les plus couramment utilisées pour accéder à des comptes non autorisés sont (a) l’attaque par force brute et (b) l’attaque par pulvérisation de mot de passe. Nous avons expliqué les attaques par force brute plus tôt. Cet article se concentre sur Attaque par pulvérisation de mot de passe – de quoi il s’agit et comment se protéger de telles attaques.

Définition de l’attaque par pulvérisation de mot de passe

Password Spray Attack est tout le contraire de Brute Force Attack. Dans les attaques Brute Force, les pirates choisissent un identifiant vulnérable et entrent les mots de passe les uns après les autres en espérant qu’un mot de passe les laisse entrer. Fondamentalement, Brute Force est composé de nombreux mots de passe appliqués à un seul identifiant.

En ce qui concerne les attaques par pulvérisation de mots de passe, un mot de passe est appliqué à plusieurs identifiants d’utilisateur afin qu’au moins un des identifiants d’utilisateur soit compromis. Pour les attaques par pulvérisation de mots de passe, les pirates collectent plusieurs identifiants d’utilisateur en utilisant l’ingénierie sociale ou d’autres méthodes de phishing. Il arrive souvent qu’au moins un de ces utilisateurs utilise un simple mot de passe comme 12345678 ou même [email protected]. Cette vulnérabilité (ou le manque d’informations sur la façon de créer des mots de passe forts) est exploitée dans Password Spray Attacks.

Dans une attaque par pulvérisation de mot de passe, le pirate appliquerait un mot de passe soigneusement construit pour tous les identifiants d’utilisateur qu’il a collectés. S’il a de la chance, le pirate peut accéder à un compte à partir duquel il peut pénétrer davantage dans le réseau informatique.

Password Spray Attack peut donc être défini comme l’application du même mot de passe à plusieurs comptes d’utilisateurs dans une organisation pour sécuriser l’accès non autorisé à l’un de ces comptes.

Attaque par force brute contre attaque par pulvérisation de mot de passe

Le problème avec les attaques par force brute est que les systèmes peuvent être verrouillés après un certain nombre de tentatives avec des mots de passe différents. Par exemple, si vous configurez le serveur pour qu’il n’accepte que trois tentatives, sinon verrouillez le système sur lequel la connexion a lieu, le système se verrouillera pour seulement trois entrées de mot de passe invalides. Certaines organisations en autorisent trois tandis que d’autres autorisent jusqu’à dix tentatives non valides. De nos jours, de nombreux sites Web utilisent cette méthode de verrouillage. Cette précaution est un problème avec les attaques par force brute car le verrouillage du système alertera les administrateurs de l’attaque.

En relation :  Les logiciels malveillants Quadcopter prouvent que les jouets connectés sont un risque pour la sécurité

Pour contourner cela, l’idée de collecter les identifiants des utilisateurs et de leur appliquer des mots de passe probables a été créée. Avec Password Spray Attack aussi, certaines précautions sont pratiquées par les pirates. Par exemple, s’ils ont essayé d’appliquer le mot de passe1 à tous les comptes d’utilisateurs, ils ne commenceront pas à appliquer le mot de passe2 à ces comptes peu de temps après avoir terminé le premier tour. Ils laisseront une période d’au moins 30 minutes entre les tentatives de piratage.

Protection contre les attaques par pulvérisation de mot de passe

Les attaques Brute Force Attack et Password Spray peuvent être arrêtées à mi-chemin à condition que des politiques de sécurité connexes soient en place. Si l’intervalle de 30 minutes est omis, le système se verrouillera à nouveau si une disposition est prise pour cela. Certaines autres choses peuvent également être appliquées, comme l’ajout d’une différence de temps entre les connexions sur deux comptes d’utilisateurs. S’il s’agit d’une fraction de seconde, augmentez le délai de connexion de deux comptes d’utilisateurs. De telles politiques aident à alerter les administrateurs qui peuvent ensuite arrêter les serveurs ou les verrouiller afin qu’aucune opération de lecture-écriture ne se produise sur les bases de données.

La première chose à faire pour protéger votre organisation contre les attaques par pulvérisation de mots de passe est d’éduquer vos employés sur les types d’attaques d’ingénierie sociale, les attaques de phishing et l’importance des mots de passe. De cette façon, les employés n’utiliseront aucun mot de passe prévisible pour leurs comptes. Une autre méthode consiste à ce que les administrateurs fournissent aux utilisateurs des mots de passe forts, expliquant la nécessité d’être prudent afin qu’ils ne notent pas les mots de passe et ne les collent pas sur leurs ordinateurs.

Certaines méthodes permettent d’identifier les vulnérabilités de vos systèmes organisationnels. Par exemple, si vous utilisez Office 365 Enterprise, vous pouvez exécuter Attack Simulator pour savoir si l’un de vos employés utilise un mot de passe faible.

Moyens Staff
Moyens I/O Staff vous a motivé, donner des conseils sur la technologie, le développement personnel, le style de vie et des stratégies qui vous aider.