Meilleures pratiques de mot de passe pour empêcher le piratage moderne - Global Security Mag Online (2023)

"De récentes nouvelles sur les possibilités de l'intelligence artificielle amènent certains chercheurs en sécurité et équipes informatiques à se demander ce que cette technologie signifie pour la sécurité des mots de passe", a déclaré Noé Mantel, spécialiste produit chez Specops Software. "Nous savons depuis longtemps que les mots de passe sont vulnérables aux attaques par force brute. Les progrès récents de l'automatisation et du matériel ont rendu ces attaques plus accessibles aux cybercriminels d'aujourd'hui."

De quoi un pirate informatique a-t-il besoin pour déchiffrer un mot de passe ?
Le stockage de mots de passe en texte brut est rare de nos jours, obligeant les attaquants à recourir à des méthodes de craquage de mots de passe pour tirer parti des mots de passe les plus compromis (« cryptés »). La plupart des systèmes utilisent aujourd'hui des algorithmes de hachage pour protéger les mots de passe stockés contre le risque qu'un attaquant accède à la base de données de mots de passe du système.

Comment fonctionnent les algorithmes de hachage (Source : Wikipedia)
En raison de la nature unidirectionnelle des algorithmes de hachage, la seule façon de révéler le mot de passe réel à partir du hachage est de le deviner. Les listes de mots et d'autres outils facilitent cette tâche pour les attaquants, mais le nombre de tentatives nécessaires pour obtenir la bonne réponse est trop élevé pour qu'une seule personne puisse le faire seule. C'est là qu'interviennent le matériel et les logiciels de craquage de mots de passe, tels que L0phtcrack, John The Ripper ou Hashcat, pour n'en nommer que quelques-uns.

Les logiciels et le matériel de craquage de mot de passe prennent des temps différents pour craquer différents algorithmes de hachage. Les algorithmes plus anciens, tels que SHA-1 et MD5, sont considérés comme non sécurisés car les logiciels de cracking modernes peuvent les cracker trop rapidement.

"Même si votre organisation peut configurer des hachages plus forts pour protéger les mots de passe utilisés par tous les systèmes de votre organisation, MD5 et d'autres hachages non sécurisés constituent une menace qui n'est rien de plus que la réutilisation des mots de passe", a déclaré Mantel. manière sécurisée possible, mais une fois qu'ils réutilisent ce mot de passe sur un site moins sécurisé et que ce site est compromis, les attaquants peuvent attaquer votre réseau."

Compte tenu de la popularité de MD5, examinons combien de temps il faudrait aux criminels pour forcer brutalement un mot de passe crypté MD5.

Le tableau ci-dessus montre le temps nécessaire pour casser un hachage donné en utilisant la force brute à l'aide de matériel moderne, sur la base des hypothèses suivantes :
–Matériel : Nvidia RTX 4090. Il s'agit actuellement du matériel le plus précieux à la disposition du grand public pour exécuter des attaques de craquage de mots de passe. Il s'agit d'une carte graphique de jeu phare que les consommateurs peuvent acheter à un prix abordable avec un PDSF d'environ 1 599 $. Pour générer ces données, nous avons utilisé un système hypothétique composé de 4 cartes Nvidia RTX 4090. Il s'agit d'une configuration qui peut être utilisée par des acteurs malveillants qui peuvent tenter d'exploiter des mots de passe compromis pour accéder aux comptes de l'organisation.

–Logiciel : Hashcat. En règle générale, un RTX 4090 standard atteint environ 164 GH/s (ou 164 000 000 000 000 mots de passe par seconde) sur Hashcat.
Les hypothèses matérielles ci-dessus peuvent sembler très problématiques ; cependant, pour des millions de paiements de rançongiciels, le coût semble minime. Cependant, certains attaquants peuvent trouver des résultats plus rapides et moins chers dans les services cloud.
Comment se défendre contre les tentatives de piratage de mot de passe
Une prolifération de nouveaux matériels et de l'automatisation a permis aux pirates de déchiffrer plus facilement les mots de passe utilisés pour se connecter aux réseaux.
Pour empêcher les tentatives de mot de passe, les équipes informatiques disposent de plusieurs options :
●Supprimer le mot de passe
●Dodatkowo MFA
● Améliorer la sécurité des mots de passe

La première option, la suppression du mot de passe, ne nécessite pas de défense contre les tentatives de piratage du mot de passe ; cependant, cela n'est pas possible dans la plupart des environnements. Les mots de passe sont toujours un élément essentiel de nombreux environnements organisationnels et nécessitent une approche différente.
La deuxième option, l'ajout de MFA, est un excellent moyen d'augmenter votre sécurité. Les organisations peuvent ajouter MFA pour la réinitialisation du mot de passe, la vérification de l'assistance aux utilisateurs finaux, la récupération de clé, etc. Cependant, les organisations ne peuvent pas toujours ajouter la MFA à tous les cas d'utilisation, et la MFA elle-même est vulnérable à ses propres attaques.
La troisième option, augmenter la sécurité des mots de passe, est un élément important de la protection en couches. L'amélioration de la sécurité des mots de passe eux-mêmes augmente la sécurité de toutes les parties du réseau d'une organisation qui nécessitent encore des mots de passe pour l'authentification.

Les meilleures politiques de mot de passe pour défendre les tentatives de piratage de mot de passe

Comme le montre le tableau ci-dessus, une politique de mot de passe optimale encourage les mots de passe plus longs. Des fonctionnalités telles que l'expiration du mot de passe basé sur la longueur et les incitations à l'utilisation du mot de passe peuvent aider les équipes informatiques à encourager les utilisateurs à choisir des mots de passe plus longs.
Cependant, les mots de passe longs sont rendus inutiles une fois qu'ils apparaissent dans les listes de mots de passe divulgués.

Comme le montre ce tableau, la longueur du mot de passe n'est pas le seul facteur important dans une bonne politique de mot de passe. Empêcher l'utilisation de mots de passe compromis connus est un élément important de la défense contre les attaques par devinette de mot de passe.
"Les équipes informatiques que nous avons interrogées ont toujours su que cela était vrai", a poursuivi Mantel, "mais nous espérons que ces tableaux de craquage de mots de passe aideront à obtenir le soutien d'autres créateurs qui ne réalisent peut-être pas le danger d'un point faible. Ou déchiffrer un mot de passe l'utilisation de mots de passe compromis connus devrait être une priorité de tout programme de sécurité par mot de passe.
Comment trouvez-vous des mots de passe divulgués comme ces exemples sur votre réseau ?
La mise à jour d'aujourd'hui du service de protection par mot de passe compromis inclut l'ajout de plus de 8 millions de mots de passe piratés à la liste utilisée par Specops Password Auditor.
En scannant avec Specops Password Auditor, vous pouvez savoir combien de mots de passe ont été compromis ou sont identiques. Specops Password Auditor ne stocke pas les données Active Directory et n'apporte aucune modification à Active Directory.
Réduisez le risque de réutilisation des mots de passe en bloquant les fuites de mots de passe
Avec Specops Password Policy et Password Cracking Protection, les organisations peuvent empêcher l'utilisation de ces mots de passe et des plus de 3 milliards d'autres mots de passe uniques connus pour avoir été compromis. Ces mots de passe divulgués incluent des mots de passe actuellement utilisés dans des attaques réelles ou des listes de mots de passe volés connus, ce qui facilite la conformité aux normes de l'industrie telles que NIST ou NCSC.
Système Honeypot - collecte les données de surveillance des attaques de notre équipe de recherche et met à jour le service quotidiennement pour garantir que le réseau est protégé contre les attaques cryptographiques qui se produisent dans le monde réel. La protection par mot de passe compromis permet de réduire les appels d'assistance en envoyant aux utilisateurs finaux un message personnalisable pour bloquer ces mots de passe Active Directory interdits.