InMy.Live

TLDR : Utilisez des mots de passe forts pour éviter une attaque par force brute.

Quelle est la force de vos mots de passe d’entreprise pour les connexions et les serveurs de votre site ? Dans quelle mesure vos politiques de mot de passe pour les employés sont-elles strictes ? Selon Better Buys, les mots de passe avec seulement huit caractères minuscules peuvent être déchiffrés en cinq heures. Heureusement, les temps augmentent de façon exponentielle avec le nombre de caractères, donc un mot de passe à douze caractères prendrait deux siècles.

Bien sûr, tout cela est théorique, mais le point est le suivant : si vous souhaitez conserver le contrôle de vos données et de vos systèmes, ayez un mot de passe fort. Parce que sans cela, vous êtes susceptible d’être attaqué par force brute.

Une attaque par force brute est un type de cyberattaque où les pirates essaient une longue liste de mots de passe pour accéder à votre site/serveur. Ces listes contiennent des millions de mots de passe différents et peuvent exécuter des scripts qui enverront des demandes de publication au site/serveur jusqu’à ce qu’ils obtiennent la confirmation qu’ils se sont connectés avec succès.

Comme vous l’avez lu dans l’exemple ci-dessus, les ordinateurs peuvent désormais déchiffrer les mots de passe beaucoup plus rapidement qu’auparavant avec des avantages technologiques. Pour cette raison, vous verrez des règles lors de la création de nouveaux comptes selon lesquelles votre mot de passe doit comporter plus de 8 caractères et doit inclure des lettres majuscules, des chiffres et des symboles.

Les objectifs des attaques par force brute diffèrent d’une personne à l’autre. Les cinq objectifs les plus courants des attaques par force brute sont les suivants :

1. Voler vos informations personnelles.
2. Utilisez vos informations d’identification pour le credential stuffing.
3. Utilisez vos informations pour le phishing.
4. Ruiner la réputation de votre organisation.
5. Compromettez votre ou vos sites Web.

Tous les objectifs mentionnés peuvent être utilisés par le même pirate pour faire autant de dégâts que possible. Les entreprises victimes d’une violation ont du mal à se rétablir, 60 % des petites et moyennes entreprises (PME) fermant dans les six mois suivant une violation.

Il y a un côté positif aux attaques par force brute. Certaines entreprises testent la sécurité du réseau et vérifient la force du cryptage utilisé sur le réseau. Par exemple, un réseau bancaire doit être sécurisé autant que possible, de sorte qu’il teste toujours sa sécurité pour empêcher le vol de données ou d’argent.

Les attaques par force brute peuvent être reconnues en recherchant plusieurs tentatives de connexion infructueuses à partir de la même adresse IP ou une augmentation de la charge sur votre serveur suite à un afflux de demandes de publication sur votre site. Vous souhaiterez surveiller votre site de près ou acheter un hébergement auprès d’un fournisseur de cloud géré pour gérer la surveillance pour vous. Assurez-vous que le support inclut une surveillance proactive afin que quelqu’un soit à la barre 24/7/365 pour protéger votre site.

Il existe quatre types différents d’attaques par force brute. La seule différence entre les types d’attaques par force brute est l’approche adoptée pour déchiffrer votre mot de passe. L’objectif principal reste le même : pirater votre site pour des activités malveillantes.

Une attaque par dictionnaire commence par les mots de passe les plus courants et parcourt une liste de mots de passe dans le dictionnaire. Il s’agit du type d’attaque le plus élémentaire.

Le credential stuffing, également connu sous le nom de recyclage des informations d’identification, réutilise les informations d’identification d’autres violations de données pour accéder à d’autres endroits où vous avez utilisé les mêmes informations d’identification. C’est pourquoi il est extrêmement important d’avoir un mot de passe différent pour les e-mails, Facebook, PayPal, Amazon, etc.

Une attaque par force brute inversée utilise des mots de passe communs et passe en revue une liste de noms d’utilisateur possibles. Un utilisateur sur un million aura un mot de passe comme “mot de passe” (si le site autorise ce mot de passe). D’autres mots de passe, tels que 123456 ou qwerty, sont extrêmement faibles et susceptibles d’être attaqués. Si vous utilisez l’un de ces mots de passe pour l’un de vos sites, modifiez-le maintenant.

Une attaque par force brute hybride combine généralement les mots de passe les plus courants avec des caractères aléatoires. Ce type d’attaque devinerait alors “password123”, “123456abc”.

Pour avoir une meilleure idée de la façon dont les choses fonctionnent, vous pouvez comparer le serveur ou le site avec votre maison, votre famille et vos amis avec les utilisateurs tout en comparant les pirates aux voleurs. Ouvrir la porte d’entrée avec la bonne clé permettra à vos amis et à votre famille de vous rendre visite à tout moment, mais cela permet également aux voleurs d’essayer de crocheter la serrure de votre porte d’entrée. Il n’y a pas de solution permanente qui soit 100% sécurisée, et à chaque bon avantage technologique s’ajoute un négatif. Mais vous pouvez prendre des mesures spécifiques pour rester aussi sécurisé que possible.

Voici les cinq principales étapes pour empêcher une attaque par force brute :

L’utilisation de mots de passe forts est le moyen le plus efficace d’empêcher une attaque par force brute. Chaque caractère supplémentaire dans votre mot de passe augmentera le temps d’accès à votre compte, donc l’ajout d’un symbole de lettre supplémentaire à la fin rendrait votre mot de passe plus sûr que votre mot de passe actuel. Essayez d’utiliser une combinaison de lettres, de chiffres, de majuscules et de caractères spéciaux dans chaque mot de passe. Vous pouvez également essayer d’utiliser des phrases de passe, qui sont plusieurs mots collés ensemble. Si vous ne souhaitez retenir qu’un seul mot de passe difficile, utilisez un gestionnaire de mots de passe pour gérer tous vos mots de passe à votre place.

Si vous ne souhaitez pas utiliser de mots de passe forts, une autre façon d’empêcher les attaques par force brute et les violations consiste à configurer une authentification à deux facteurs (2FA). Cela vous permettra de vous connecter comme vous le feriez partout ailleurs, mais cette étape supplémentaire d’envoi d’une notification sur votre téléphone pour confirmer votre identité empêchera les pirates de s’introduire dans votre compte. La 2FA basée sur les applications est préférable aux notifications textuelles, mais l’une ou l’autre est préférable à un mot de passe seul.

Une autre façon de sécuriser vos comptes est de limiter le nombre de tentatives infructueuses d’accès à votre site ou serveur. Celui-ci est une épée à double tranchant. Avec un nombre limité de tentatives, vous comptez sur vos employés et clients pour ne jamais oublier leurs mots de passe.

En refusant l’accès à votre compte administrateur sur votre serveur à partir de toutes les IP sauf votre propre IP, vous empêcherez toute attaque sur votre serveur. Vous serez également le seul à pouvoir vous connecter jusqu’à ce que votre IP change le lendemain. Oui, vous pouvez toujours contacter le support pour ajouter votre adresse IP à la liste blanche, mais cela peut être évité si vous obtenez une adresse IP statique de votre fournisseur de services Internet. Une adresse IP statique peut être extrêmement efficace si vous avez configuré les autorisations appropriées pour tous vos administrateurs de serveur.

L’activation de CAPTCHA empêchera tout bot/script de publier trop de demandes en peu de temps. C’est un bon moyen de sécuriser vos pages de connexion et vos formulaires de contact pour éviter le spam et l’augmentation de la charge sur votre serveur.

En conclusion, lors de la création d’un nouveau compte, placez-vous dans la peau d’un pirate informatique et pensez au nombre d’essais qu’il faudrait pour déchiffrer votre mot de passe. Si quelqu’un s’introduit dans ce compte, où d’autre peut-il réutiliser le même nom d’utilisateur et le même mot de passe ? Les attaques par force brute se produisent chaque jour pour beaucoup à leur insu, et il est beaucoup plus facile de les empêcher au début pendant que vous contrôlez toujours votre compte.