Il y a quelques semaines, nous avons examiné certains des pires hacks de sites Web que nous ayons jamais vus. Chacun d’entre eux a commencé avec de mauvais choix de mot de passe et s’est transformé en un événement désastreux pour le propriétaire du site. Des mots de passe forts et une bonne hygiène des mots de passe sont souvent la première ligne de défense.

Le 29 septembre 2020, l’équipe de Wordfence Live a couvert les 10 pires erreurs de mot de passe que nous ayons jamais vues. Cet article de blog complémentaire passe en revue les moyens les plus courants par lesquels les attaquants volent des informations d’identification pour faire la lumière sur les moyens courants dont les acteurs malveillants obtiennent des mots de passe afin que vous puissiez prendre de meilleures décisions concernant vos informations d’identification.

Nous ferons un suivi avec un article supplémentaire résumant les 10 erreurs que nous avons couvertes dans Wordfence Live.

Vous pouvez regarder la vidéo de Wordfence Live ci-dessous.

Horodatages

Voici les horodatages au cas où vous voudriez sauter:

  • 0:00 introduction
  • 7:43 Qu’est-ce qu’un mot de passe?
  • 9:48 Méthodes d’attaque courantes qui compromettent les mots de passe
  • 10:10 Remplissage des informations d’identification
  • 12:07 Attaques par force brute et par dictionnaire
  • 13:57 Surf à l’épaule
  • 15:07 Ingénierie sociale
  • 18h02 Hameçonnage
  • 20:15 Reniflage sans fil
  • 22:17 L’homme au milieu attaque

Vous pouvez cliquer sur ces horodatages pour parcourir la vidéo.

Les mots de passe sont un élément essentiel de notre vie en ligne. Ils agissent comme des clés donnant accès à nos sites de shopping préférés, à nos comptes bancaires, à nos réseaux sociaux et comptes de messagerie, et même à nos sites WordPress.

Un mot de passe est utilisé pour prouver votre identité en ligne. Un nom d’utilisateur agit comme un mécanisme d’identification pour dire à un site qui vous êtes, tandis qu’un mot de passe agit comme un mécanisme d’authentification pour vérifier que l’identité que vous revendiquez est vraiment et authentiquement votre identité.

Il est extrêmement important de protéger vos mots de passe et de suivre les meilleures pratiques en matière de mots de passe. Les mots de passe protègent votre identité en ligne. Si l’un de vos mots de passe est compromis, les attaquants peuvent accéder à des comptes en ligne et à des informations sensibles, causant un préjudice irréparable à votre entreprise, à vos moyens de subsistance et même à votre identité personnelle.

Quel que soit le type d’attaque de mot de passe utilisé, le but final de l’attaquant est de «falsifier» votre identité en utilisant votre mot de passe compromis et de s’authentifier avec succès en tant que vous. Voici les méthodes les plus courantes pour voler ou compromettre des mots de passe pour obtenir une entrée non autorisée.

Attaque Type # 1: Credential Stuffing

Le bourrage d’informations d’identification se produit lorsqu’un attaquant a déjà accès à des combinaisons de nom d’utilisateur et de mot de passe qui sont généralement obtenues à partir de violations de données. Dans ce type d’attaque, les attaquants envoient des requêtes automatisées contenant ces combinaisons de nom d’utilisateur et de mot de passe pour tenter de s’authentifier avec succès en tant que vous. En cas de succès, les attaquants peuvent voler vos données sensibles, apporter des modifications à votre compte ou même se faire passer pour vous. Une attaque ciblée de bourrage d’informations d’identification peut réussir en un seul essai, tandis qu’une campagne à grande échelle peut essayer des millions de combinaisons contre un seul site.

Pour lutter contre les attaques de bourrage d’informations d’identification, assurez-vous de ne pas réutiliser les mots de passe sur les sites. Surveillez vos informations d’identification pour vérifier qu’elles n’ont pas été exposées à une violation de données avec un service tel que haveibeenpwned.com. Si vos mots de passe sont compromis, changez-les immédiatement.


Attaque Type # 2: Techniques de Cracking de Mot de Passe

Il existe plusieurs techniques de craquage de mots de passe que les attaquants utilisent pour «deviner» les mots de passe des systèmes et des comptes. Les trois techniques de craquage de mot de passe les plus courantes que nous voyons sont les attaques par force brute, les attaques par dictionnaire et les attaques de table arc-en-ciel.

Lors d’une attaque par dictionnaire, un attaquant utilisera une liste de mots et de combinaisons de mots du dictionnaire pour essayer de deviner le mot de passe. Ils peuvent utiliser des mots de dictionnaire uniques ou une combinaison de mots de dictionnaire, cependant, la simplicité d’avoir une liste de dictionnaires est ce qui en fait une méthode d’attaque attrayante pour les attaquants.

Une attaque par force brute va un peu plus loin qu’une attaque par dictionnaire. Un attaquant essaiera différentes combinaisons de lettres, de chiffres et de caractères spéciaux pour essayer de «deviner» le bon mot de passe. L’établissement de ressources pour automatiser les attaques par force brute est facile et peu coûteux, et les attaquants se retrouvent généralement avec de grandes bases de données d’informations d’identification en raison des utilisateurs utilisant des mots de passe faibles.

Une attaque de table arc-en-ciel se produit lorsqu’un attaquant utilise une table de hachages précalculée basée sur des mots de passe communs, des mots de dictionnaire et des mots de passe précalculés pour essayer de trouver un mot de passe basé sur son hachage. Cela se produit généralement lorsqu’un attaquant est en mesure d’accéder à une liste de mots de passe hachés et souhaite déchiffrer les mots de passe très rapidement. Dans de nombreux cas, les violations d’informations d’identification ne contiennent que des mots de passe hachés, de sorte que les attaquants utiliseront souvent des attaques de table arc-en-ciel pour découvrir les versions en clair de ces mots de passe pour une utilisation ultérieure dans les attaques de bourrage d’informations d’identification.

Les attaques de piratage de mot de passe sont assez courantes et constituent l’un des types d’attaques les plus répandus après le bourrage d’informations d’identification. Les sites WordPress sont souvent fortement ciblés par ces attaques.

Les mots de passe faibles peuvent prendre quelques secondes à craquer avec les bons outils, il est donc extrêmement important d’utiliser des mots de passe forts et uniques sur tous les sites.


Type d’attaque n ° 3: Surf à l’épaule

La navigation sur l’épaule se produit lorsqu’un spectateur malveillant observe les informations sensibles que vous tapez sur votre clavier ou sur votre écran par-dessus l’épaule.

Cela peut se produire n’importe où, que ce soit dans un bureau, dans un café, dans un avion, etc. Partout où vous accédez ou entrez des informations sensibles dans un lieu public peut mettre vos mots de passe en danger. Si vous n’êtes pas conscient de votre environnement lorsque vous vous connectez à des sites dans des espaces publics ou dans votre bureau, vous pouvez être victime de cette attaque.

Soyez conscient de votre environnement lorsque vous vous authentifiez sur des sites ou des ressources et assurez-vous que personne ne vous regarde. Les écrans de confidentialité qui bloquent la visibilité de l’écran peuvent être protecteurs si vous travaillez fréquemment dans des espaces publics.


Type d’attaque # 4: Ingénierie sociale

L’ingénierie sociale cible le maillon le plus faible de la sécurité: l’humain. Ces attaques sont incroyablement courantes et souvent assez réussies. L’ingénierie sociale est avant tout une attaque psychologique qui incite les humains à effectuer une action qu’ils ne pourraient autrement pas faire sur la base de la confiance sociale. Par exemple, un attaquant peut se frayer un chemin dans une installation physique d’entreprise. Une fois à l’intérieur, ils pourraient approcher un employé et lui dire qu’ils résolvent un problème avec un service très spécifique et que leurs informations d’identification ne fonctionnent pas.

L’ingénierie sociale peut se faire de plusieurs manières, notamment en personne, par téléphone, via les réseaux sociaux, via le phishing par e-mail. Pour vous protéger, vérifiez l’identité de toute personne demandant des informations sensibles ou des mots de passe. Ne partagez jamais d’informations sensibles, en particulier vos mots de passe, avec une personne que vous ne connaissez pas, ne faites pas confiance ou ne pouvez pas vérifier. Si possible, ne partagez jamais vos mots de passe avec qui que ce soit, même si vous leur faites confiance.

Si vous avez des employés, demandez-leur de participer à une formation de sensibilisation à la sécurité pour apprendre à reconnaître différentes attaques d’ingénierie sociale et se préparer à signaler et à alerter les autres lorsqu’une attaque d’ingénierie sociale suspectée cible une organisation.

Ne fournissez jamais d’informations sensibles ou de mots de passe à des inconnus, peu importe qui ils prétendent être. Si un technicien du service d’assistance vous appelle pour vous dire qu’il a besoin de vos informations d’identification, vérifiez d’abord avec votre patron ou dites simplement non. Dans la plupart des cas, les fournisseurs de services réputés ont d’autres moyens d’obtenir des informations qui ne nécessitent pas vos informations d’identification.


Type d’attaque n ° 5: Phishing

Bien que souvent considéré comme une sous-catégorie de l’ingénierie sociale, le phishing est si répandu qu’il mérite sa propre catégorie «d’attaque». Le phishing se produit lorsqu’un attaquant crée un e-mail pour donner l’impression qu’il provient d’une source légitime afin de tromper la victime en cliquant sur un lien ou en fournissant des informations sensibles telles que des mots de passe, des numéros de sécurité sociale, des informations de compte bancaire, etc. Ces e-mails peuvent aller de magnifiquement conçus et imperceptiblement proches de la vraie affaire à ridiculement simples et évidemment faux.

Les attaques de phishing ciblées, connues sous le nom de spear phishing, sont incroyablement efficaces et semblent souvent provenir d’une source de confiance telle qu’un patron ou un collègue. Si vous recevez un e-mail d’une personne en qui vous avez confiance demandant quelque chose d’inhabituel, vérifiez qu’il a été envoyé par la personne qui semble l’avoir envoyé en l’appelant au téléphone, en lui parlant en personne ou en utilisant un autre moyen de communication.

Vérifiez la source de tout e-mail que vous recevez en vérifiant les en-têtes d’e-mail. Nous vous recommandons également d’éviter de fournir des informations sensibles à une personne en qui vous n’avez pas entièrement confiance. Ne cliquez jamais sur les liens dans les e-mails, car ils peuvent souvent conduire à des kits de phishing conçus pour collecter vos informations d’identification et les transmettre aux attaquants. Pour vérifier la validité des informations qui vous ont été envoyées par e-mail, fermez votre e-mail et saisissez le nom de l’institution qui aurait envoyé l’e-mail dans la barre d’adresse de votre navigateur pour vous connecter à leur site.


Type d’attaque # 6: Reniflage sans fil

Un attaquant utilisant des outils pour examiner le trafic réseau peut «renifler» le réseau pour capturer et lire les paquets de données envoyés. Le reniflage sans fil capture les données envoyées entre l’ordinateur d’un utilisateur sans méfiance et le serveur auquel le client fait la demande. Si un site n’utilise pas de certificat TLS / SSL, un attaquant avec ces outils peut facilement obtenir vos mots de passe simplement en capturant les paquets qui sont envoyés.

Utilisez un VPN lors de l’accès à des sites sur le wifi public afin qu’un attaquant ne puisse pas facilement capturer et lire vos données. Si votre site WordPress n’utilise pas de certificat TLS / SSL, vos informations d’identification WordPress sont envoyées en texte brut chaque fois que vous vous connectez. Assurez-vous que vous avez un certificat TLS / SSL installé sur votre site WordPress pour aider à garder les données des visiteurs de votre site, y compris les mots de passe, en toute sécurité en transit.


Type d’attaque n ° 7: Attaque de l’homme du milieu

Une attaque Man-in-the-Middle se produit lorsqu’un attaquant intercepte le trafic, agissant en tant que serveur de réception des demandes et observant par la suite tout le trafic envoyé au serveur qu’il attaque avant de transférer les paquets vers le serveur légitime. Cela peut se produire dans de nombreuses situations différentes, de l’accès à un site Web depuis votre domicile à l’accès aux ressources d’un bureau.

Votre meilleure protection en ce qui concerne les attaques de type “man-in-the-middle” est de vous assurer que le site que vous visitez est digne de confiance et que le certificat SSL / TLS installé sur le site est valide. Google vous alertera s’il y a quelque chose de suspect au sujet du certificat SSL / TLS sur un site, donc si vous recevez cet avertissement, assurez-vous d’éviter d’entrer des informations sensibles ou des mots de passe sur ce site. Vous pouvez également utiliser un VPN pour que vos données restent cryptées lors de la traversée de n’importe quel réseau.


Aujourd’hui, nous avons couvert certaines des techniques de vol de mot de passe les plus courantes utilisées aujourd’hui. Il est important de comprendre ces types d’attaques pour savoir comment les pirates peuvent accéder à vos mots de passe. En comprenant mieux ce que font les attaquants, vous pouvez mieux comprendre ce que vous devez faire pour vous protéger contre la compromission de mot de passe.

Ceci est le premier de deux articles connexes. Nous ferons un suivi avec un article supplémentaire plongeant dans les 10 pires erreurs de mot de passe que nous ayons jamais vues.

Nous vous recommandons souvent de partager nos publications avec des collègues et amis concernés. Aujourd’hui, nous vous demandons de partager ce message avec tout le monde, de votre grand-mère à votre voisin. Le vol de mot de passe affecte tout le monde. En partageant cet article avec tout le monde, nous pourrons, espérons-le, sensibiliser à la sécurité des mots de passe et à son importance, et faire d’Internet un endroit meilleur et plus sûr pour tous.


Source link