Piratages sur Internet: les attaques par force brute et comment les arrêter

[ware_item id=33][/ware_item]

Piratages Internet


Une attaque par force brute, également appelée recherche de clé exhaustive, est essentiellement un jeu de devinettes et peut être exécutée contre tout type de système d'authentification.

Les clés de chiffrement sont particulièrement vulnérables aux attaques par force brute, car il n'y a pas de moyen facile de limiter le nombre de suppositions qu'un attaquant peut faire pour le casser. Il est donc possible de continuer à saisir chaque mot de passe possible jusqu'à ce que le bon soit.

Codes d'accès numériques simples

La longueur et la complexité d'un mot de passe nous permettent de calculer combien de suppositions il faudrait pour le déchiffrer.

Par exemple, un code de porte à quatre chiffres typique aurait 10 000 combinaisons différentes, de 0000 à 9999. Il est facile de calculer que si les mots de passe sont saisis au hasard, le code de porte correct a 50% de chances d'être deviné en 5 000 tentatives..

Bien qu'il puisse être morne d'entrer autant de clés différentes pour un humain, nous pourrions construire un petit bras de robot pour le faire pour nous, ou même trouver un moyen d'entrer les codes électroniquement. S'il faut une seconde à notre petit bras robotisé pour saisir un code, nous pourrions ouvrir une telle porte en 167 minutes - moins de trois heures.

protéger contre la force bruteLimiter le nombre de suppositions autorisées pour un mot de passe.

Rendre les systèmes plus sûrs en limitant le nombre de suppositions

Il existe plusieurs façons de sécuriser la porte susmentionnée. Nous pourrions, par exemple, n'autoriser que trois suppositions avant que le lecteur de code de porte ne soit verrouillé à l'intérieur d'une boîte qui nécessite une clé physique pour s'ouvrir. La chance de deviner correctement le bon code de porte serait alors réduite à 0,3%, un nombre suffisamment petit pour, espérons-le, repousser un attaquant..

Les cartes bancaires utilisent souvent ce mécanisme; après un certain nombre de tentatives infructueuses, le GAB conservera la carte de l'utilisateur.

Les cartes SIM de téléphone n'autorisent souvent qu'un nombre limité de tentatives de mot de passe, après quoi une clé de déverrouillage PIN (PUK) beaucoup plus longue est nécessaire pour accéder à nouveau à la carte.

L'inconvénient est l'inconvénient. Un système de mot de passe secondaire rendra une serrure de porte, une carte bancaire ou un téléphone inutilisable pendant un certain temps. De plus, si le PUK n'est pas stocké de manière sécurisée, il pourrait poser un tout nouveau risque pour la sécurité.

Un autre système consiste à n'autoriser qu'un certain nombre de tentatives de mot de passe par minute. Par exemple, si vous ne pouvez déverrouiller la porte mentionnée qu'une fois par minute, l'ouverture de la porte peut prendre jusqu'à 167 heures. C'est presque exactement une semaine, et assez probablement pour que l'attaquant ne prenne pas la peine d'essayer - ou assez longtemps pour que les propriétaires légitimes détectent l'attaque.

Rien ne peut limiter le nombre de suppositions pour les clés de chiffrement

La limitation des tentatives de mot de passe n'est cependant viable que pour un appareil ou un service en ligne. Si l'attaquant a accès à un fichier crypté ou s'il a intercepté vos communications cryptées, rien ne peut limiter le nombre de suppositions qu'il peut faire..

La seule option dans de tels cas est d'augmenter la longueur du mot de passe, le rendant plus sûr. Pour chaque chiffre ajouté à un mot de passe, il devient dix fois plus long à deviner. Un code de porte à six chiffres, par exemple, prendrait près de 12 jours pour se fissurer à une estimation par seconde.

La fabrication de codes d'accès plus longs a cependant un coût, car ils deviennent de plus en plus difficiles à retenir. Et quand il s'agit de deviner, les ordinateurs peuvent facilement deviner un milliard de nombres par seconde, donc les codes d'accès doivent être extrêmement longs. Un mot de passe à 18 chiffres prendrait plus d'un an à un ordinateur pour le deviner, mais vous souvenez-vous d'un code aussi long?

La complexité est aussi importante que la longueur

Permettre des codes d'accès plus complexes améliore considérablement la sécurité. Si nous n'autorisons que les chiffres, il n'y a que dix entrées possibles par chiffre (0-9). L'autorisation supplémentaire des lettres minuscules augmente ce nombre à 36 entrées par chiffre (0-9, a-z). L'ajout de lettres majuscules passera à 62 entrées par chiffre (0-9, a-z, A-Z).

L'utilisation de la table Unicode d'origine (le jeu de caractères latins) augmenterait encore chaque chiffre à 95 entrées possibles. Permettre d'autres scripts, comme l'arabe ou le grec, augmente rapidement encore ce nombre.

Il y a plus de 120 000 caractères, symboles et emojis dans l'ensemble Unicode actuel, qui peuvent tous être utilisés pour un bon mot de passe. Le simple fait d'utiliser deux de ces caractères ensemble produit un mot de passe avec plus de 14 milliards de possibilités différentes. Ajouter un tiers en fait un quadrillion de possibilités.

Si nous supposons qu'un ordinateur peut deviner un milliard de mots de passe par seconde, il faudrait plus d'un million de secondes pour trouver un mot de passe à trois caractères à l'aide de l'ensemble Unicode, soit environ 12 jours. Rendre les mots de passe plus complexes est aussi puissant que les allonger, mais ils sont généralement beaucoup plus faciles à retenir.

utiliser un gestionnaire de mots de passeLes humains sont incapables d'être aléatoires.

L'aléatoire est important, mais les humains sont mauvais au hasard

En réalité, les mots de passe sont rarement aléatoires. Les humains échouent systématiquement à trouver des mots de passe vraiment aléatoires, ce qui rend possible certaines variantes de l'attaque par force brute.

Par exemple, nous pouvons choisir des mots populaires uniques lorsqu'on nous demande de créer un mot de passe, ce qui réduit considérablement la complexité de nos mots de passe. Bien qu'il existe 300 millions de combinaisons possibles pour un mot de passe à six lettres, même si nous n'autorisons que les lettres minuscules, les attaquants commenceront par les mots anglais les plus couramment utilisés, ce qui donne souvent des résultats. Une telle attaque est appelée attaque par dictionnaire.

Une attaque par dictionnaire est souvent associée à la connaissance des mots de passe les plus couramment utilisés. Nous connaissons la popularité de certains mots de passe issus de violations de mots de passe précédentes. Le mot de passe 1234, par exemple, déverrouille plus de 10% de tous les téléphones. Les mots de passe 1111 et 0000, 8% supplémentaires.

Étant donné trois tentatives de piratage d'un mot de passe, en théorie, il y a 0,3% de fissuration du mot de passe, mais en pratique, il est plus proche de 18%.

Cela devrait augmenter considérablement la complexité d'un mot de passe lorsque certaines lettres sont remplacées par des caractères spéciaux, tels que «Pa $$ w0rd». Cependant, la façon dont les humains remplacent ces lettres est assez prévisible et n'ajoute pas beaucoup de caractère aléatoire. Il est facile de deviner les remplacements populaires, tels que e -> 3, a -> @, o -> 0 ou s -> $, puis vérifiez-les. Ceci est souvent appelé substitution de caractères.

Si un ordinateur ou un attaquant a la possibilité de s'informer sur l'utilisateur, il peut réduire considérablement le nombre de tentatives nécessaires pour pirater son mot de passe. Beaucoup de gens ajoutent leurs dates de naissance ou années de naissance aux mots de passe. D'autres utilisent le nom de leur conjoint, enfant ou animal de compagnie. Certains peuvent mettre en majuscule certains caractères, ou simplement inclure l'URL du site pour lequel ils utilisent ce mot de passe - des choses qu'un attaquant peut facilement deviner.

Une formule courante pour un mot de passe est un mot qui commence par une lettre majuscule, suivi d'un nombre et se terminant par un caractère spécial, EG Word1111 !. Si un attaquant obtient une certaine connaissance de sa cible, il peut utiliser ce modèle mais remplacer le contenu par des informations pertinentes pour la victime. C'est appelé vérification de modèle.

La meilleure protection est un mot de passe fort et aléatoire

Limiter le nombre de suppositions par seconde, ou le nombre total de suppositions avant qu'un compte ne soit verrouillé, contribue grandement à vous protéger contre les attaques par force brute.

Avec les clés de chiffrement, de telles limitations ne sont pas possibles, donc la meilleure façon de se défendre contre une attaque par force brute est d'utiliser un générateur de mot de passe aléatoire, soit comme un outil autonome, soit dans le cadre d'un gestionnaire de mots de passe. Vous pouvez également utiliser la technique Diceware.

Piratages sur Internet: les attaques par force brute et comment les arrêter
admin Author
Sorry! The Author has not filled his profile.