Les deux méthodes les plus couramment utilisées pour accéder à des comptes non autorisés sont les suivantes: (a) attaque par force brute et (b) attaque par attaque par mot de passe. Nous avons déjà expliqué les attaques par force brute. Cet article se concentre sur Mot de passe Spray Attack - de quoi il s'agit et comment vous protéger de telles attaques.
Définition d'attaque par pulvérisation de mot de passe
Password Spray Attack est tout le contraire de Brute Force Attack. Lors d'attaques par force brute, les pirates informatiques choisissent un identifiant vulnérable et saisissent les mots de passe l'un après l'autre en espérant qu'un mot de passe les laisse entrer.
En ce qui concerne les attaques par pulvérisation de mots de passe, un seul mot de passe est appliqué à plusieurs ID utilisateur, de sorte qu'au moins un de ces ID est compromis. Pour les attaques par mot de passe, les pirates collectent plusieurs ID utilisateur à l'aide de l'ingénierie sociale ou d'autres méthodes de phishing. Il arrive souvent qu'au moins un de ces utilisateurs utilise un mot de passe simple comme 12345678 ou même p @ ssw0rd. Cette vulnérabilité (ou le manque d'informations sur la création de mots de passe forts) est exploitée dans Attaques par pulvérisation de mot de passe.
Dans une attaque par attaque par mot de passe, le pirate informatique appliquerait un mot de passe soigneusement construit pour tous les identifiants d’utilisateur qu’il a collectés. S'il a de la chance, le pirate informatique peut accéder à un compte à partir duquel il peut pénétrer davantage dans le réseau informatique.
Password Spray Attack peut donc être défini comme appliquant le même mot de passe à plusieurs comptes d'utilisateur dans une organisation pour sécuriser les accès non autorisés à l'un de ces comptes.
Brute Force Attack vs Password Spray Attack
Le problème des attaques par force brute est que les systèmes peuvent être verrouillés après un certain nombre de tentatives avec des mots de passe différents. Par exemple, si vous configurez le serveur pour n'accepter que trois tentatives, sinon le système sur lequel la connexion a lieu est verrouillé, il ne sera verrouillé que pour trois entrées de mot de passe non valides. Certaines organisations autorisent trois tentatives tandis que d'autres autorisent jusqu'à dix tentatives non valides. De nombreux sites Web utilisent cette méthode de verrouillage ces jours-ci. Cette précaution est un problème avec les attaques par force brute, car le verrouillage du système alertera les administrateurs de l’attaque.
Pour éviter cela, l’idée de collecter des ID d’utilisateur et de leur appliquer des mots de passe probables a été créée. Avec Password Spray Attack aussi, certaines précautions sont appliquées par les pirates. Par exemple, s'ils ont essayé d'appliquer le mot de passe1 à tous les comptes d'utilisateur, ils ne commenceront pas à appliquer le mot de passe2 à ces comptes peu de temps après la fin du premier tour. Ils vont laisser une période d’au moins 30 minutes entre les tentatives de piratage.
Protection contre les attaques par pulvérisation de mot de passe
Les attaques de type Brute Force Attack et Password Spray peuvent être arrêtées à mi-chemin à condition que des stratégies de sécurité connexes soient en place. Si l’intervalle est de 30 minutes, le système se verrouillera à nouveau si cela est prévu. Certaines autres choses peuvent également être appliquées, telles que l'ajout d'une différence de temps entre les connexions sur deux comptes d'utilisateurs. S'il ne s'agit que d'une fraction de seconde, augmentez le délai de connexion de deux comptes d'utilisateur. De telles stratégies aident à alerter les administrateurs qui peuvent ensuite arrêter les serveurs ou les verrouiller afin qu'aucune opération de lecture-écriture ne se produise sur les bases de données.
La première chose à faire pour protéger votre entreprise contre les attaques par pulvérisation de mot de passe est d'informer vos employés des types d'attaques d'ingénierie sociale, d'attaques de phishing et de l'importance des mots de passe. Ainsi, les employés n’utiliseront aucun mot de passe prévisible pour leurs comptes. Une autre méthode consiste à fournir aux utilisateurs des mots de passe forts, expliquant ainsi la nécessité d’être prudent afin de ne pas les noter et les coller sur leurs ordinateurs.
Certaines méthodes permettent d’identifier les vulnérabilités de vos systèmes d’organisation. Par exemple, si vous utilisez Office 365 Entreprise, vous pouvez exécuter Attack Simulator pour savoir si l'un de vos employés utilise un mot de passe faible.
