Des mots de passe "-R0b|_|$t3s-" ?

Dès lors, il est tentant de se dire : « je vais choisir un mot de passe facile à mémoriser, et il ira bien partout ». Je vous propose aujourd’hui de voir pourquoi c’est inadapté, en regardant de plus près comment un pirate malveillant peut retrouver votre précieux sésame et s’en servir !

Voici un florilège des méthodes les plus communes :

  • Attaque par « Force Brute » :au travers d’une ou des machines, toutes les combinaisons possibles de caractères d’un mot de passe sont générées et testées. C’est une méthode très chronophage, mais si le pirate a du temps, alors il arrivera à ses fins.
    👉 Changeons régulièrement de mots de passe.
  • Attaque par dictionnaire :l’attaquant se sert d’une bibliothèque de mots, un dictionnaire, pour générer et essayer diverses combinaisons. Si le mot de passe contient un mot commun, ou une phrase, alors il se peut qu’il parvienne à retrouver votre mot de passe
    👉 Préférer une suite de caractères qui peut paraître aléatoire à des mots en clair.
  • Attaque par « Rainbow Table » : vos mots de passe ne sont « normalement » pas stockés en clair chez vos prestataires, mais sous forme d’un « chiffre clé » ou hachage. Réputés sécurisés, ces hachages peuvent être "re-traduits" en mot de passe en clair au travers de table dite "arc-en-ciel", qui rassemblent une liste de relations hachage-mot/suite. Cette attaque est donc d’autant plus efficace que les mots de passe contiennent des mots ou des suites de caractères facilement identifiables.
    👉 Encore une fois, minimiser les mots, les phrases, les noms dans l’élaboration de vos mots de passe.
  • Ingénierie sociale : l’attaque repose sur le fait de vous tromper et de vous amener à révéler votre mot de passe. Elle peut prendre diverses formes : un attaquant doué dans la tromperie au cours d’une discussion ou d’un échange de mails, un mail de phishing convaincant, un SMS frauduleux...
    👉 Pour contrer ces méthodes, rien de tel qu’une sensibilisation aux risques d’exposition !
  • Le « bourrage d’identifiants » : l’attaquant va utiliser une liste de noms d’utilisateurs et de mots de passe volés (obtenus à partir d’autres fuites de données) pour essayer d’accéder à vos différents comptes utilisateurs.
    👉 Le meilleur des contres, c’est de suivre le conseil relayé entre autres par l’ANSSI : à chaque usage/compte, un mot de passe différent.

Et je ne serai pas surpris de découvrir des méthodes encore plus avancées !

C’est donc l’occasion de faire un checkup de vos sésames, et je ne peux que vous recommander de faire un tour sur le calculateur de l’ANSSI. ou, pour les plus perfectionnistes, de découvrir The Password Game, pour rendre cette activité un petit peu plus ludique !

 

NIS 2 : Nouvelle réglementation européenne pour la cybersécurité NIS 2 : Nouvelle réglementation européenne pour la cybersécurité
Recrutement technicien(ne) système et réseau Recrutement technicien(ne) système et réseau
Proximit participe aux premières Rencontres professionnelles de la cybersécurité Proximit participe aux premières Rencontres professionnelles de la cybersécurité