Connaître les vulnérabilités des mots de passe pour éviter de se faire pirater -

Compte tenu du coût de la sécurité et de la valeur des informations protégées, la combinaison d'un ID utilisateur et d'un mot de passe suffit généralement éviter les hacks. Cependant, les mots de passe donnent un faux sentiment de sécurité. Les méchants le savent et tentent de fendre les mots de passe afin de pénétrer dans les systèmes informatiques.

Un gros problème avec le fait de se fier uniquement aux mots de passe pour la sécurité de l'information est que plus d'une personne peut les connaître. Parfois, c'est intentionnel; Souvent, ce n'est pas le cas. La partie difficile est qu'il n'y a aucun moyen de savoir qui, en plus du propriétaire du mot de passe, connaît un mot de passe.

Rappelez-vous que connaître un mot de passe ne fait pas de quelqu'un un utilisateur autorisé.

Voici les deux classifications générales des vulnérabilités par mot de passe:

• Vulnérabilités organisationnelles ou: Cela inclut l'absence de stratégies de mot de passe appliquées dans l'organisation et le manque de sensibilisation des utilisateurs.

• Vulnérabilités techniques: Cela inclut les méthodes de chiffrement faibles et le stockage non sécurisé des mots de passe sur les systèmes informatiques.

Avant les réseaux informatiques et Internet, l'environnement physique de l'utilisateur était une couche supplémentaire de sécurité par mot de passe qui fonctionnait plutôt bien. Maintenant que la plupart des ordinateurs ont une connectivité réseau, cette protection a disparu.

Vulnérabilités liées aux mots de passe organisationnels

C'est la nature humaine de vouloir la commodité, surtout quand il s'agit de se souvenir de cinq, dix et souvent des dizaines de mots de passe pour le travail et la vie quotidienne. Ce désir de commodité fait des mots de passe l'un des obstacles les plus faciles à surmonter pour un attaquant.

Près de 3 trillions de combinaisons de mots de passe de huit caractères sont possibles en utilisant les 26 lettres de l'alphabet et les chiffres de 0 à 9. Les clés de mots de passe forts sont: 1) facile à retenir et 2) difficile à craquer. Cependant, la plupart des gens se concentrent sur la partie facile à retenir. Les utilisateurs aiment utiliser des mots de passe tels que mot de passe , leur nom de connexion, abc123 ou aucun mot de passe du tout!

À moins que les utilisateurs ne soient éduqués et rappelés à propos de l'utilisation de mots de passe forts, leurs mots de passe sont généralement

• faciles à deviner.

• Rarement changé.

• Réutilisé pour de nombreux points de sécurité. Lorsque les méchants crackent un mot de passe, ils peuvent souvent accéder à d'autres systèmes avec le même mot de passe et le même nom d'utilisateur.

  L'utilisation du même mot de passe sur plusieurs systèmes et sites Web n'est rien d'autre qu'une violation en attente. Tout le monde en est coupable, mais cela ne rend pas justice.Faites ce que vous pouvez pour protéger vos propres informations d'identification et faire passer le mot à vos utilisateurs sur la façon dont cette pratique peut vous mettre dans une véritable impasse.

• Écrit dans des endroits non sécurisés. Plus le mot de passe est complexe, plus il est difficile de le déchiffrer. Cependant, lorsque les utilisateurs créent des mots de passe complexes, ils sont plus susceptibles de les écrire. Les attaquants externes et les initiés malveillants peuvent trouver ces mots de passe et les utiliser contre vous et votre entreprise.

Vulnérabilités techniques du mot de passe

Vous pouvez souvent trouver ces vulnérabilités techniques sérieuses après avoir exploité les vulnérabilités du mot de passe organisationnel:

• Schémas de chiffrement des mots de passe faibles. De nombreux fournisseurs et développeurs pensent que les mots de passe sont sûrs tant qu'ils ne publient pas le code source de leurs algorithmes de chiffrement. Mauvais! Un attaquant persistant et patient peut généralement craquer cette sécurité par l'obscurité (une mesure de sécurité cachée à la vue, mais qui peut être facilement surmontée) assez rapidement. Une fois le code fissuré, il est distribué sur Internet et devient public.

  Les utilitaires de craquage de mots de passe profitent d'un faible cryptage des mots de passe. Ces utilitaires font le travail fastidieux et peuvent craquer n'importe quel mot de passe, avec suffisamment de temps et de puissance de calcul.

• Programmes qui stockent leurs mots de passe en mémoire, les fichiers non sécurisés et les bases de données facilement accessibles.

• Bases de données non cryptées qui fournissent un accès direct aux informations sensibles à toute personne ayant un accès à la base de données, qu'elle ait ou non besoin d'une entreprise.

• Applications utilisateur qui affichent des mots de passe sur l'écran pendant la saisie.

La National Vulnerability Database (un index des vulnérabilités informatiques géré par l'Institut National des Standards et de la Technologie) identifie actuellement plus de 2 500 vulnérabilités liées aux mots de passe! Vous pouvez rechercher ces problèmes pour déterminer la vulnérabilité de certains de vos systèmes d'un point de vue technique.