Vidéo: Sécurité 4 : Cracker des mots de passe (Novembre 2024)
L’un des aspects frustrants de la sécurité de l’information est le fait que même si nous disons de manière répétée aux utilisateurs de choisir des mots de passe forts et complexes, ils ne le font pas. Bien que nous sachions cela, il est toujours inquiétant de constater que, malgré l’augmentation du nombre de violations de données, des avertissements et rappels fréquents et de la pléthore de gestionnaires de mots de passe disponibles, des mots de passe tels que "123456", "iloveyou" et "singe" apparaissent toujours dans la liste. top 100 des mots de passe les plus couramment utilisés.
Le mois dernier, Adobe a révélé que les attaquants avaient accédé à des mots de passe d'utilisateurs actifs d'Adobe, ainsi qu'au code source de produits tels que Cold Fusion. Les attaquants ont également publié un fichier contenant près de 150 millions de mots de passe cryptés.
Jeremi Gosney, expert en sécurité et fondateur de Stricture Consulting Group, a déclaré 123456 'à près de deux millions d'utilisateurs d'Adobe. Il a analysé la liste et identifié les mots de passe les plus couramment utilisés au cours du week-end. Son analyse a couvert environ six millions de mots de passe, soit moins de 5% de la liste exposée.
"Les autres mots de passe populaires incluent" 123456789 ", " mot de passe ", " adobe123 ", " 12345678 ", " qwerty ", " 1234567 ", " 111111 ", " photoshop "et" 123123 ", a déclaré Gosney.
Pas assez de cryptage
Bien qu'Adobe ait chiffré les mots de passe, il apparaît que la société a utilisé une clé de chiffrement unique pour tous les mots de passe. Les mots de passe cryptés par Adobe utilisent 3DES, ce qui est bien, mais en mode ECB (Electronic Code Book), qui est un mécanisme moins sécurisé. La BCE est connue pour avoir divulgué des informations sur sa clé, telle que la génération du même bloc de texte chiffré pour une chaîne de caractères spécifique.
Cela signifie que si quelqu'un peut comprendre la clé, tous les mots de passe peuvent être déchiffrés.
Gosney ne dispose pas de la clé utilisée pour chiffrer les mots de passe. Il est donc impossible de dire que la liste est tout à fait exacte. Malgré tout, il a dit qu'il était "assez confiant" avec la liste.
Pas étonnant
Il est à noter que l'analyse des mots de passe exposés issus d'infractions passées, telles que Yahoo, Gawker et d'autres, a eu des résultats similaires. Il est clair que les mots de passe communs sont assez cohérents parmi les utilisateurs en ligne. Il est un peu encourageant de considérer que ces mots de passe non sécurisés comptent pour moins de 5%. Mais deux millions de comptes utilisant le même mot de passe sont une mauvaise nouvelle, peu importe comment vous le regardez.
Il y a trois ans, Gawker figurait dans le top 5 des listes «123456», «mot de passe», «12345678», «lifehack» et «qwerty».
Que faire maintenant
Si vous n'avez pas encore changé votre mot de passe Adobe, allez-y maintenant et assurez-vous de sélectionner un mot de passe fort et unique. N'utilisez pas un mot de passe figurant dans la liste de Gosney. En fait, pourquoi ne regardez-vous pas dans le top 100 et assurez-vous de ne pas en utiliser pour un compte ou un service en ligne?
Mieux encore, utilisez cette liste comme l’élan pour finalement basculer vers un gestionnaire de mots de passe, tel que LastPass ou Dashlane.
