Table des matières:
Vidéo: This is How Hackers Crack Passwords! 2024
Le piratage des mots de passe est l'un des meilleurs hacks. Cela alimente leur sens de l'exploration et leur désir de comprendre un problème. Un hacker peut utiliser des méthodes low-tech pour casser les mots de passe. Ces méthodes comprennent l'utilisation de techniques d'ingénierie sociale, la navigation sur l'épaule, et simplement la détermination des mots de passe à partir d'informations qu'il connaît sur l'utilisateur.
Ingénierie sociale
La méthode low-tech la plus populaire pour la collecte de mots de passe est ingénierie sociale . L'ingénierie sociale tire parti de la nature confiante des êtres humains pour obtenir des informations qui peuvent ensuite être utilisées avec malveillance. Une technique d'ingénierie sociale commune consiste simplement à convaincre les gens de divulguer leurs mots de passe. Cela semble ridicule, mais cela arrive tout le temps.
Techniques
Pour obtenir un mot de passe grâce à l'ingénierie sociale, il suffit de le demander. Par exemple, vous pouvez simplement appeler un utilisateur et lui dire qu'il a des e-mails importants dans la file d'attente, et vous avez besoin de son mot de passe pour vous connecter et les libérer. C'est souvent comme ça que les hackers et les initiés voyous essaient d'obtenir l'information!
Une faiblesse commune qui peut faciliter une telle ingénierie sociale est lorsque les noms des membres du personnel, numéros de téléphone et adresses e-mail sont affichés sur les sites Web de votre entreprise. Les sites de médias sociaux tels que LinkedIn, Facebook et Twitter peuvent également être utilisés contre une entreprise, car ces sites peuvent révéler les noms des employés et leurs coordonnées.
Contre-mesures
La sensibilisation des utilisateurs et une formation cohérente en matière de sécurité constituent de grandes défenses contre l'ingénierie sociale. Les outils de sécurité sont un bon système de sécurité lorsqu'ils surveillent de tels messages électroniques et la navigation Web au niveau de l'hôte, du périmètre du réseau ou dans le nuage.
Entraînez les utilisateurs à repérer les attaques et à réagir efficacement. Leur meilleure réponse est de ne pas donner d'informations et d'alerter le responsable de la sécurité de l'information approprié dans l'organisation pour voir si la demande est légitime et si une réponse est nécessaire. Oh, et enlever ce répertoire du personnel de votre site Web ou au moins supprimer les informations des membres du personnel informatique.
Shoulder surfing
Shoulder surfing (le fait de regarder par-dessus l'épaule de quelqu'un pour voir ce que la personne est en train de taper) est un hack de mots de passe efficace et de basse technologie.
Techniques
Pour monter cette attaque, les méchants doivent être près de leurs victimes et ne pas avoir l'air évident. Ils collectent simplement le mot de passe en regardant le clavier ou l'écran de l'utilisateur quand la personne se connecte.
Un attaquant avec un bon œil peut même regarder si l'utilisateur regarde autour de lui pour se rappeler le mot de passe ou le mot de passe lui-même.Des caméras de sécurité ou une webcam peuvent même être utilisées pour de telles attaques. Les cafés et les avions offrent les scénarios idéaux pour surfer sur l'épaule.
Vous pouvez essayer de surfer sur l'épaule vous-même. Il suffit de marcher autour du bureau et effectuer des vérifications aléatoires. Accédez aux bureaux des utilisateurs et demandez-leur de se connecter à leurs ordinateurs, au réseau ou même à leurs applications de messagerie. Ne leur dites pas ce que vous faites à l'avance, ou ils pourraient essayer de cacher ce qu'ils tapent ou où ils cherchent leur mot de passe. Faites juste attention à cela et respectez la vie privée des autres.
Contre-mesures
Encouragez les utilisateurs à prendre conscience de leur environnement et à ne pas entrer leur mot de passe lorsqu'ils suspectent que quelqu'un regarde par-dessus leurs épaules. Dites aux utilisateurs que s'ils suspectent que quelqu'un regarde par-dessus leurs épaules pendant qu'ils se connectent, ils devraient poliment demander à la personne de détourner le regard ou, si nécessaire, lancer une épithète appropriée pour montrer au délinquant que l'utilisateur est sérieux.
Il est souvent plus facile de se pencher sur la ligne de vue de l'épaule de l'internaute pour l'empêcher de voir quoi que ce soit et / ou l'écran de l'ordinateur. Les filtres de confidentialité 3M fonctionnent très bien aussi.
Inférence
Inférence consiste simplement à deviner les mots de passe à partir des informations que vous connaissez sur les utilisateurs, telles que leur date de naissance, leur émission de télévision favorite ou leurs numéros de téléphone. Cela semble stupide, mais les criminels déterminent souvent les mots de passe de leurs victimes simplement en les devinant!
La meilleure défense contre une attaque d'inférence consiste à éduquer les utilisateurs sur la création de mots de passe sécurisés qui n'incluent pas d'informations pouvant leur être associées. En dehors de certains filtres de complexité de mot de passe, il n'est souvent pas facile d'appliquer cette pratique avec des contrôles techniques. Vous avez donc besoin d'une politique de sécurité solide et d'une sensibilisation et d'une formation continues à la sécurité pour rappeler aux utilisateurs l'importance de la création de mots de passe sécurisés.
Authentification faible
Les attaquants externes et les initiés malveillants peuvent obtenir - ou simplement éviter d'utiliser - des mots de passe en tirant parti de systèmes d'exploitation plus anciens ou non sécurisés ne nécessitant pas de mot de passe pour s'enregistrer. tablette qui n'est pas configurée pour utiliser des mots de passe.
Contournement de l'authentification
Sur les anciens systèmes d'exploitation qui demandent un mot de passe, vous pouvez appuyer sur Echap du clavier pour entrer. D'accord, il est difficile de trouver un système Windows 9 x ces jours-ci, mais il en va de même pour tout système d'exploitation - ancien ou nouveau - configuré pour contourner l'écran de connexion.
Une fois que vous y êtes, vous pouvez trouver d'autres mots de passe stockés dans des lieux tels que les connexions par modem et VPN et les économiseurs d'écran. Ces mots de passe peuvent être facilement piratés en utilisant l'outil Proactive System Password Recovery d'Elcomsoft et Cain & Abel. Ces systèmes faibles peuvent servir de machines de confiance - ce qui signifie que les utilisateurs supposent qu'elles sont sécurisées - et fournissent également de bonnes plateformes de lancement pour les attaques par mot de passe réseau.
Contre-mesures
La seule véritable défense contre l'authentification faible consiste à s'assurer que vos systèmes d'exploitation nécessitent un mot de passe au démarrage.Pour éliminer cette vulnérabilité, au moins effectuez une mise à niveau vers Windows 7 ou 8 ou utilisez les versions les plus récentes de Linux ou l'une des différentes versions d'UNIX, y compris Mac OS X.
