Il peut être difficile et stressant de s'assurer que votre mot de passe est à la fois fort et mémorable. Cependant, si vous suivez les bonnes
Parmi les types d’attaques de mot de passe les pus courants, citons le craquage de mot de passe, la pulvérisation de mot de passe, les attaques par dictionnaire, le bourrage d’identifiants, les attaques par force brute et les attaques par rainbow table. Plus vos habitudes en matière de mot de passe sont bonnes, moins vous êtes sensible de subir des attaques par mot de passe. Le rapport sur la gestion des mots de passe de Keeper a révélé que seulement 25 % des personnes interrogées utilisent des mots de passe forts et uniques pour chaque compte, ce qui signifie que 75 % des personnes interrogées placent leurs comptes dans une situation de risque de compromission en raison de mots de passe faibles.
Poursuivez votre lecture pour découvrir les six types d’attaques par mot de passe les plus courants, pourquoi ils sont dangereux et ce que vous pouvez faire pour vous protéger contre les attaques liées aux mots de passe.
Craquage de mot de passe
On parle de craquage de mot de passe lorsque les cybercriminels utilisent des programmes et des outils pour obtenir un accès non autorisé à des comptes en ligne. Bien qu’il existe plusieurs types de techniques de craquage de mot de passe, elles ont toutes pour objectif commun de compromettre les comptes d’utilisateurs à des fins malveillantes. L’intelligence artificielle (IA) étant de plus en plus avancée, les cybercriminels l’utilisent à leur avantage, car les outils d’IA facilitent le déchiffrement des mots de passe. Avec l’IA, la vitesse à laquelle les cybercriminels peuvent déchiffrer les mots de passe a considérablement augmenté.
Attaque par force brute
On parle d’attaque par force brute lorsque les cybercriminels utilisent un logiciel pour tenter de deviner les identifiants de connexion par essais et erreurs. Les logiciels de force brute fonctionnent en saisissant plusieurs combinaisons différentes d’identifiants jusqu’à ce qu’ils trouvent une correspondance. S’il peut sembler inefficace de tenter de deviner les mots de passe par essais et erreurs, les logiciels utilisés par les cybercriminels peuvent traiter des trillions de combinaisons de mots de passe en peu de temps.
Pulvérisation de mot de passe
La pulvérisation de mot de passe, également appelée attaque par pulvérisation de mot de passe, se produit lorsque des cybercriminels utilisent une liste de mots de passe couramment utilisés pour tenter d’accéder à plusieurs comptes d’un domaine. Ces listes contiennent des mots de passe faibles que de nombreuses personnes utilisent, tels que « 123456 » ou « mot de passe ». Avec un outil de pulvérisation de mot de passe, les cybercriminels peuvent saisir ces listes et utiliser l’outil pour craquer plusieurs mots de passe à la fois.
Attaque de dictionnaire
Une attaque par dictionnaire est une attaque de mot de passe qui utilise des mots et des phrases courants du dictionnaire pour compromettre des comptes. Lors d’une attaque par dictionnaire, les cybercriminels utilisent une liste de mots contenant des mots et des phrases couramment utilisés comme mots de passe. Ils utilisent ensuite un programme de craquage de mot de passe pour saisir les combinaisons de mots dans différents comptes d’utilisateurs afin de tenter de craquer les mots de passe.
Credential Stuffing
Le bourrage d’identifiants est une attaque par mot de passe qui exploite le fait que de nombreuses personnes réutilisent leur mot de passe sur plusieurs comptes. Lors d’une attaque par bourrage d’identifiants, les cybercriminels utilisent un ensemble d’identifiants pour tenter de compromettre plusieurs comptes à la fois. Souvent, les cybercriminels utilisent des identifiants divulgués lors de violations de données publiques.
Attaque par Rainbow table
Une attaque par Rainbow table se produit lorsque des cybercriminels utilisent une table spéciale pour tenter de déchiffrer un mot de passe haché. Les hachages de mot de passe sont utilisés lorsque les mots de passe sont transformés en une chaîne de caractères illisibles. Si une entreprise auprès de laquelle vous avez un compte chiffre les mots de passe des utilisateurs, cela signifie qu’elle ne stocke que les hachages des mots de passe. Ainsi, les cybercriminels ne pourront pas connaître le mot de passe de votre compte si l’entreprise venait à être victime d’une violation de données.
Cependant, les mots de passe hachés restent vulnérables aux attaques par Rainbow Table. Dans une attaque par Rainbow Table, les cybercriminels rassemblent une liste de mots de passe potentiels qui consistent généralement en des combinaisons de mots de passe couramment utilisées. Ils utilisent ensuite une fonction de hachage pour transformer chacun de ces mots de passe en hachage de mot de passe. Le mot de passe en texte clair et le hachage de mot de passe sont ensuite stockés dans la Rainbow table. Les hachages des mots de passe sont ensuite réduits pour créer une chaîne de hachages qui sont ensuite utilisés pour essayer de trouver une correspondance. Lorsqu’une valeur de hachage correspondante est trouvée, le cybercriminel sait quel mot de passe utiliser pour compromettre le compte en ligne de l’utilisateur.
Pourquoi les attaques par mot de passe sont dangereuses
Les attaques par mot de passe sont dangereuses car elles peuvent conduire à la compromission ou à la prise de contrôle d’un compte, ce qui peut entraîner l’usurpation de votre identité et des pertes financières. Il y a prise de contrôle d’un compte lorsqu’une personne non autorisée accède à un ou plusieurs de vos comptes en ligne et vous en prive en modifiant votre mot de passe. Comme votre mot de passe a été modifié, il peut s’écouler un certain temps afin que vous ne puissiez à nouveau accéder à votre compte ou, dans certains cas, il se peut que vous ne puissiez pas du tout accéder à votre compte.
Pendant la période où une personne non autorisée a accès à votre compte, elle peut recueillir des informations sensibles sur vous et les utiliser pour usurper votre identité. Il peut être difficile de se remettre d’une usurpation d’identité et cela peut entraîner de lourdes pertes financières.
Comment puis-je me protéger contre les attaques par mot de passe ?
Voici quelques moyens de vous protéger contre les attaques par mot de passe.
Utilisez des clés d’accès si le site Web ou l’application le permet
Les clés d’accès sont une nouvelle technologie d’authentification qui vous permet de vous connecter à vos comptes en ligne sans avoir à saisir de mot de passe. Plutôt que de devoir créer un mot de passe vous-même, les clés d’accès se génèrent automatiquement sur votre appareil, votre navigateur ou votre gestionnaire de mots de passe lorsque vous les créez. Avec les clés d’accès, vous n’avez jamais à vous soucier de leur faiblesse ou de leur réutilisation, comme c’est le cas avec les mots de passe traditionnels. Les clés d’accès sont renforcées par défaut et ne peuvent pas être facilement compromises comme les mots de passe, ce qui en fait l’un des moyens les plus sûrs d’authentifier votre identité lorsque vous vous connectez à un compte.
Les clés d’accès étant encore récentes, seuls certains sites Web et applications les prennent en charge pour le moment. Au lieu d’utiliser des mots de passe, qui sont susceptibles de faire l’objet d’attaques par mot de passe, optez pour l’utilisation de clés d’accès sur tous les sites Web ou applications pour lesquels vous disposez d’un compte et qui permettent leur utilisation. Vous pouvez consulter les sites Web et les applications qui prennent actuellement en charge l’utilisation des clés d’accès dans notre répertoire des clés d’accès.
Utilisez des mots de passe forts et uniques
Tous les sites Web ne prennent pas en charge les clés d’accès, vous devrez donc toujours créer des mots de passe forts pour la plupart de vos comptes en ligne. Lorsque vous créez des mots de passe, assurez-vous qu’ils respectent les meilleures pratiques en matière de mot de passe, afin qu’ils ne puissent pas être facilement devinés ou craqués. Nous vous recommandons d’utiliser un générateur de mots de passe pour créer vos mots de passe afin qu’ils soient toujours forts et uniques.
Si vous vous demandez comment vous allez vous souvenir de plusieurs mots de passe forts et uniques, envisagez d’utiliser un gestionnaire de mots de passe. Les gestionnaires de mot de passe aident les utilisateurs à créer des mots de passe forts pour chacun de leurs comptes en ligne et à les stocker en toute sécurité avec d’autres méthodes d’authentification telles que les clés d’accès et les codes d’authentification multifacteur. Le seul mot de passe dont vous devrez vous souvenir est votre mot de passe maître.
Activez la MFA chaque fois que c’est possible
L’authentification multifacteur (MFA) est une mesure de sécurité que vous pouvez activer sur la plupart de vos comptes en ligne. Lorsque la MFA est activée, vous devez non seulement saisir votre nom d’utilisateur et votre mot de passe, mais aussi fournir un ou plusieurs facteurs d’authentification supplémentaires pour vous connecter à un compte. Même si un cybercriminel parvenait à craquer votre mot de passe, il ne pourrait pas compromettre vos comptes en ligne, car il ne serait pas en mesure d’authentifier votre identité.
Faites attention aux attaques d’ingénierie sociale
L’ingénierie sociale consiste pour les cybercriminels à utiliser la manipulation psychologique pour amener les victimes à révéler des informations sensibles. L’un des types d’attaques d’ingénierie sociale les plus courants est le phishing. Le phishing se produit lorsque les cybercriminels incitent les victimes à révéler des informations sensibles en se faisant passer pour une personne que la victime connaît, par exemple une entreprise avec laquelle elle a un compte ou un membre de sa famille.
Les attaques d’ingénierie sociale tentent généralement d’amener les victimes à révéler leurs identifiants de connexion à leurs comptes en ligne. Si vous ne faites pas attention aux attaques d’ingénierie sociale, vous pourriez facilement donner vos identifiants de connexion et risquez de compromettre votre compte. L’un des meilleurs moyens d’éviter les attaques d’ingénierie sociale est de ne jamais donner vos informations personnelles à n’importe qui, surtout les logins à vos comptes en ligne. Vous devez également éviter de cliquer sur les liens qui vous sont envoyés de manière non sollicitée afin d’éviter de télécharger un logiciel malveillant ou de saisir vos identifiants de connexion ou d’autres informations sensibles sur un site Web de phishing.
Ne laissez pas les attaques par mot de passe mener à des comptes compromis
Avec autant de comptes en ligne, il peut devenir difficile de créer des mots de passe forts et uniques pour chaque compte, tout en activant la MFA chaque fois que c’est possible. S’assurer que chacun de vos comptes en ligne est sécurisé ne doit pas être difficile. Un gestionnaire de mots de passe comme Keeper® peut vous aider à protéger vos comptes contre les attaques par mot de passe les plus courantes.
Avec Keeper, vous pouvez gérer vos clés d’accès, vos mots de passe et même vos codes 2FA, afin de protéger vos comptes en ligne sans avoir à vous soucier des mots de passe faibles ou réutilisés. Commencez dès aujourd’hui un essai gratuit de 30 jours de Keeper pour éviter que vos comptes ne soient compromis par des attaques par mot de passe.