Les Cas types de cybersécurité(Cassage de mot de passe)
Les
mots de passe étant le mécanisme le plus couramment utilisé pour authentifier
les utilisateurs d’un système informatique, l’obtention de mots de passe est
une approche d’attaque courante et efficace. Le mot de passe d’une personne
peut être obtenu en fouillant le bureau physique de la personne, en surveillant
la connexion au réseau pour acquérir des mots de passe non chiffrés, en ayant
recours à l’ingénierie sociale, en accédant à une base de données de mots de
passe ou simplement en devinant. Cette dernière approche – deviner – peut
s’effectuer de manière aléatoire ou systématique :
Les
attaques par force brute consistent à adopter une approche aléatoire : essayer
différents mots de passe en espérant que l’un d’entre eux fonctionnera. Une
certaine logique peut être appliquée : essayer des mots de passe liés au nom de
la personne, à son poste, à ses passe-temps ou à des éléments similaires.
Dans
une attaque par dictionnaire, un dictionnaire des mots de passe courants est
utilisé pour tenter d’accéder à l’ordinateur et au réseau d’un utilisateur. Une
approche consiste à copier un fichier chiffré contenant les mots de passe, à
appliquer le même chiffrement à un dictionnaire des mots de passe couramment
utilisés et à comparer les résultats.
Pour
vous protéger contre les attaques par dictionnaire ou par force brute, vous
devez mettre en œuvre une politique de verrouillage des comptes qui
verrouillera un compte après quelques tentatives infructueuses de saisie du mot
de passe. Ces bonnes pratiques de verrouillage des comptes vous permettront de
faire cela correctement.
- Commentaires