Qu'est-ce que la force brute et comment rester en sécurité ?

Nous avons enfin trouvé la réponse à la question sur le sens de la vie, mais il y a un petit problème – c'est sur l'ordinateur de votre colocataire John. Il a même créé un dossier sur le bureau « Le sens de la vie est… », mais il est crypté avec un mot de passe.

Une voix dans votre tête murmure : « attaque par force brute ».

« Qu'est-ce que la force brute ? » , vous vous demandez. "Et qui a dit ça ?"

En essayant de ne pas prêter attention à cette dernière question, vous allez de l'avant et demandez à John : « Hé, pourriez-vous s'il vous plaît me dire le mot de passe ? Je veux aussi connaître le sens de la vie.

John a refusé et est parti travailler. Je plaisante, il n'a pas de travail.

En plus de vous ennuyer, bien sûr. Il est cependant sorti pour acheter de la bière, vous avez donc le temps de trouver le mot de passe.

« Attaque par force brute » , insiste la voix.

Ce n'est pas "John123", ni "beer4me". Vous avez appelé sa mère, mais ce n'est pas non plus « Ilovegingercookies ». Certainement surprenant. Il existe des millions de combinaisons.

Que fais-tu?

(BRUTE-FORCE… D'accord, d'accord - vous interrompez la voix et lancez une recherche sur Google)

Vous trouvez quelques faits marquants de Curios B :

• Les tentatives de piratage utilisant des attaques par force brute ou par dictionnaire ont augmenté de 400 % en 2017.
• 86% des abonnés utilisent des mots de passe, déjà divulgués dans d'autres violations de données et disponibles pour les attaquants en texte brut.
• « 123456789 » peut être craqué 431 fois en un clin d'œil, mais « A23456789 » met environ 40 ans à se fissurer.
• Cela peut prendre environ 30 à 40 000 ans pour qu'un mot de passe à 12 chiffres soit brutalement forcé.
• Les attaques par force brute utilisent des milliards de combinaisons pour détourner votre mot de passe.
• Plus de 290 000 personnes utilisent le mot de passe « 123456 ».

Quelle est la définition de la force brute ?

Le forçage brut est une méthode de recherche exhaustive, qui essaie toutes les possibilités pour parvenir à la solution d'un problème. Sans pouvoir deviner ou obtenir le mot de passe - l'option restante est de… le casser.

Le piratage par force brute utilise un algorithme de calcul qui teste toutes les combinaisons de mots de passe possibles. Ainsi, à mesure que la longueur du mot de passe augmente, le temps nécessaire pour le casser augmente également.

C'est pourquoi les attaques par mot de passe par force brute peuvent prendre des centaines, voire des millions d'années.

Je me demande combien de temps il faudra pour casser votre mot de passe ?

Évitez simplement de vous en vanter en publiant le mot de passe réel. Et changez-le, s'il s'avère que c'est trop facile. Maintenant, nous devons parler de la

Types d'attaques par force brute

Bien que chaque attaque par force brute ait le même objectif, différentes méthodes sont utilisées. La plus courante est la

Attaque par dictionnaire

Celui-ci parcourt tous les mots du dictionnaire pour trouver le mot de passe. Les mots de passe et expressions couramment utilisés sont également inclus dans la recherche. Par conséquent, si votre mot de passe est « mot de passe » ou « 123456 », il faudra quelques secondes pour le déchiffrer.

Attaques par force brute inversée

Celles-ci ont lieu lorsque l'attaquant a votre mot de passe, mais pas votre nom d'utilisateur. Il utilise la même méthode qu'une attaque par force brute normale.

Il est possible de lancer une attaque pour le nom d'utilisateur et le mot de passe, mais cela prendra encore plus de temps, ce qui réduit encore les chances de succès.

Recyclage des identifiants

Il s'agit d'une attaque dans laquelle le pirate informatique profite d'un mot de passe déjà violé . Si quelqu'un peut voler votre mot de passe YouTube, il essaiera certainement d'accéder à votre Facebook, Twitter, etc. avec les mêmes informations d'identification.

Il est préférable d'utiliser un mot de passe unique pour chaque compte en ligne que vous possédez. Cependant, il peut être frustrant de se souvenir de tous ces détails. Heureusement, nous avons des gestionnaires de mots de passe pour cela, certains d'entre eux sont même gratuits.

Comment Brute Force?

La définition de la force brute montre clairement comment elle peut être retirée. Avec un peu de lecture, vous avez vraiment besoin de très peu pour faire des dégâts. Il existe également une abondance de logiciels différents à cet effet. Jetons un coup d'œil à certains d'entre eux.

Jean l'Eventreur

C'est un outil d'attaque par force brute populaire , qui est un favori depuis longtemps. Il est absolument gratuit et prend en charge 15 plates-formes différentes - Windows, DOS, OpenVMS, Unix, etc. John the Ripper dispose de diverses fonctionnalités de craquage de mots de passe et peut effectuer des attaques par dictionnaire.

Fissure arc-en-ciel

Celui-ci est un peu différent des autres outils de force brute car il génère des tables arc-en-ciel pré-calculées. Cela permet de réduire le temps d'exécution de l'attaque. L'outil est toujours en développement actif et est disponible pour les systèmes d'exploitation Windows et Linux.

Caïn et Abel

Vous pouvez utiliser cette approche pour renifler le réseau , enregistrer des conversations VoIP, décoder des mots de passe brouillés, etc. Un logiciel antivirus comme Avast le détecte comme un malware, vous devez donc bloquer votre antivirus avant de commencer.

Dave Grohl

Un outil d'attaque par force brute pour Mac OS. Il est open-source et dispose d'un mode qui vous permet d'effectuer des attaques à partir de plusieurs ordinateurs sur le même mot de passe. Cela rend le devineur de mot de passe encore plus rapide.

Fissure

L'un des plus anciens outils de craquage de mots de passe. Il ne fonctionne qu'avec le système UNIX. Ses stratégies incluent la vérification des mots de passe faibles et l'exécution d'attaques par dictionnaire.

Hashcat

Il prétend être l'outil de craquage de mot de passe basé sur le processeur le plus rapide. Il peut être utilisé sur les plates-formes Windows, Linux et Mac et est entièrement gratuit. Largement réputé pour la vaste gamme d'options qu'il propose – dictionnaire, force brute, attaques hybrides, etc. Hashcat utilise plus de 230 algorithmes.

Aircrack-ng

Il s'agit d'un devineur de mot de passe sans fil populaire , disponible pour Windows et Linux et qui a également été porté pour fonctionner sur iOS et Android. Avec l'outil, vous pouvez trouver efficacement le mot de passe d'un réseau sans fil.

Vous connaissez maintenant les outils, mais il y a plus…

Avoir un CPU (Central Processing Unit) et un GPU (Graphics Processing Unit) améliorés peut grandement bénéficier d'une attaque par force brute.

Le nombre d'essais que vous pouvez faire par seconde est crucial pour le processus. Un cœur de CPU est généralement beaucoup plus rapide qu'un cœur de GPU, mais un GPU est excellent pour traiter les calculs mathématiques. Plus de GPU peuvent augmenter votre vitesse sans aucune limite supérieure.

Par exemple, pour casser un mot de passe de 8 caractères sur un processeur, il faudra (1,7*10^-6 * 52^8) secondes/2, soit 1,44 ans. Sur un GPU, cela ne prendrait que 5 jours environ. Sur un supercalculateur, cela prendrait 7,6 minutes.

"Ce n'est pas parce que vous êtes paranoïaque qu'ils ne vous en veulent pas.", a déclaré Joseph Heller, alors…

Voici quelques conseils de prévention des attaques par force brute

Nous attendons toujours que quelque chose sur cette planète soit complètement protégé. En attendant, vous pouvez combiner quelques mesures de sécurité.

Captcha

est un moyen de reconnaître si un ordinateur ou un humain essaie de se connecter. Vous avez sûrement coché le champ « Je ne suis pas un robot » à de nombreuses reprises. Cela a du sens maintenant. Mais les ordinateurs sont intelligents. Il existe des moyens d'apprendre à la machine à simuler le comportement humain. Utiliser le captcha seul ne fera pas l'affaire.

Authentification en deux étapes

est un autre moyen utile de garantir votre confidentialité. L'authentification se présente généralement sous la forme d'un code envoyé sur votre mobile. Assurez-vous simplement de ne pas perdre votre téléphone.

Limiter les tentatives de connexion

peut ajouter une couche de sécurité supplémentaire. Les serveurs Web commencent à afficher des captchas si vous frappez le mauvais mot de passe trois fois ou plus. Ils peuvent même bloquer votre adresse IP. Cela rendra le forçage brutal encore plus lent ou totalement inutile.

Chiffrement

Il est essentiel d'avoir un algorithme de cryptage fort comme SHA-512. Assurez-vous que vous n'utilisez pas un ancien algorithme avec des faiblesses connues.

Le cryptage 256 bits est l'une des méthodes de cryptage les plus sécurisées , c'est donc certainement la voie à suivre. Le temps de crack du cryptage 256 bits par force brute nécessite 2 ¹²⁸ fois plus de puissance de calcul pour correspondre à celle d'une clé 128 bits.

Et la dernière étape est la complexité P@$sw0rd-101, bien sûr.

Combinez tout ce qui précède et vous serez aussi en sécurité que possible. La formation de votre personnel sur le sujet augmentera également les chances de prévention des attaques par force brute .

Maintenant, vous avez la connaissance. Vous avez réussi à lancer une attaque par force brute sur l'ordinateur de John. Juste à temps.

(la voix est heureuse)

Cela ne prend que quelques secondes et son mot de passe est craqué. « DAdams » – pas si sûr que ça – enfin vous ouvrez le dossier et voyez que le sens de la vie est… 42 !

Vraiment, Jean ?

Du côté positif, vous avez appris ce qu'est la force brute et comment utiliser une attaque par force brute .