Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Un hacker pirate la page Facebook d’une bijouterie

Un hacker ferme la page Facebook de la bijouterie de Mumbai.

L’accusé a exigé une rançon de Rs 70,000 (950 €) et a suspendu la page Facebook quand la compagnie a refusé de payer, dit la police.

Un hacker non identifié a fermé la semaine dernière la page Facebook d’un portail en ligne qui vend des bijoux après que le cabinet ait refusé de payer l’argent qu’il avait prétendument demandé. La police a déclaré, le 1er novembre, qu’une personne non identifiée a appelé le bureau de Matchless Jewellery for Less LLP, basé à Kandivali East et prétendait être un officier de la cyber-police.

La police a ajouté que l’appelant avait menacé de pirater la page Facebook de la marque de l’entreprise, JLF-Jewellery for Less, à travers laquelle elle vend des bijoux d’imitation, à moins que ne soit payé Rs 70,000. La page de l’entreprise compte 1,1 million de followers.

Un officier du poste de police de Kurar a déclaré que lorsque l’entreprise a refusé de payer, l’accusé a piraté la page Facebook et appelé l’entreprise pour l’informer de ses actions.

Kumar Varandani, propriétaire de la marque, a déclaré que le pirate avait saisi le mot de passe de l’administrateur de la page et l’avait utilisé pour la suspendre. « Nous avons informé la cyber-cellule de la police de Mumbai le même jour et enregistré un cas avec le poste de police local le lendemain », a déclaré Varandani. Udaykumar Rajeshirke, inspecteur principal du poste de police de Kurar, a indiqué qu’une enquête est en cours pour identifier le pirate informatique.

Le poste de police de Kurar a mis en garde à vue un individu pour avoir commis une extorsion en vertu du code pénal Indien et pour avoir causé des dommages à un système informatique, en vertu de la Loi sur la technologie de l’information.

Varandani a déclaré qu’il s’était plaint à Facebook le jour de l’incident. « C’est une énorme perte pour nous. La page Facebook est l’un de nos centres d’affaires et est en attente jusqu’à ce que Facebook mène son enquête interne. Nous faisons face à des pertes entre 40 000 et 50 000 roupies par jour », a-t-il déclaré.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Les règles pour créer un bon mot de passe

Une grande majorité des trucs et astuces fiables que nous utilisons pour créer un mot de passe personnalisé nous rendent plus vulnérables faces aux pirates informatiques, selon l’expert qui a popularisé les conseils en 2003. Dans une interview avec le Wall Street Journal, ancien Institut national des normes et le directeur de la technologie, Bill Burr, a admis que le document qu’il a rédigé sur la création de mots de passe forts était erroné. « Beaucoup de ce que j’ai fait, je le regrette maintenant », dit Burr, qui a 72 ans et qui est maintenant à la retraite.

Le problème n’était pas que Burr conseillait aux gens de faire des mots de passe qui sont intrinsèquement faciles à déchiffrer, mais que ses conseils orientaient les utilisateurs d’ordinateurs quotidiens vers des erreurs paresseuses et des pratiques faciles à prévoir. Le document de mot de passe de huit pages de Burr, intitulé « NIST Special Publication 800-63 ». L’annexe A, conseille aux gens d’utiliser des majuscules irrégulières, des caractères spéciaux et au moins un chiffre. Cela pourrait aboutir à un mot de passe comme « P@ssW0rd123! ». Bien que cela puisse sembler sûr en surface (en négligeant, bien sûr, que « mot de passe » soit un mauvais mot de passe), le problème est que la plupart techniques exactes lors de l’élaboration de ces serrures numériques combo. Il en résulte des chaînes de caractères et de nombres que les pirates peuvent facilement prédire et des algorithmes qui ciblent spécifiquement ces faiblesses.

Pire encore, Burr a suggéré que les gens devraient changer les mots de passe régulièrement, au moins tous les 90 jours. Ce conseil, qui a ensuite été adopté par les institutions académiques, les organismes gouvernementaux et les grandes entreprises, a poussé les utilisateurs à créer des mots de passe faciles à utiliser. La plupart des gens peuvent probablement pointer vers un mot de passe qu’ils ont créé qui a été jugé fort simplement parce qu’il avait un caractère spécial comme le symbole « ! » Ou « ? » Et une chaîne numérique comme « 123 ». Et lorsqu’on lui demande de changer un mot de passe, qui ne l’a pas modifié légèrement pour éviter les ennuis de trouver un tout nouveau code ?

Une bande dessinée xkcd populaire du dessinateur Randall Munroe, publiée en août 2011, a creusé un trou dans cette logique commune en soulignant comment le mot de passe « Tr0ub4dor&3 » pourrait être craqué en trois jours avec des techniques standard, en raison de sa capitalisation prévisible et l’utilisation de caractères spéciaux. Le mot de passe « agrafe de batterie de cheval correcte », écrit en une seule phrase, prendrait 550 ans à être piraté. « Grâce à 20 ans d’efforts, nous avons correctement formé tout le monde à utiliser des mots de passe difficiles à retenir pour les humains, mais faciles à deviner pour les ordinateurs », écrit Munroe.

En d’autres termes, les mots de passe que vous devriez utiliser sont des phrases obscures, presque inexplicables, pleines de hasard humain qui les rendent faciles à mémoriser et pourtant presque impossibles à comprendre pour un système automatisé. Bien sûr, pour ceux qui utilisent des gestionnaires de mots de passe comme LastPass, vous pouvez générer des mots de passe cryptographiquement sécurisés à la volée. Mais il est toujours important d’avoir un mot de passe maître difficile à cracker.

« En fin de compte, c’était probablement trop compliqué pour beaucoup de gens de comprendre très bien, et la vérité est, il aboyait le mauvais arbre », Burr admet de son conseil. Les nouvelles normes du NIST qui ont été publiées en juin, rédigées par le conseiller technique Paul Grassi, ont supprimé une grande partie des conseils de Burr.

« Nous avons fini par partir de zéro », a déclaré Grassi au WSJ. Mais Burr pourrait exagérer les effets négatifs de son conseil sur les mots de passe, ajoute M. Grassi: « Il a rédigé un document de sécurité qui a duré de 10 à 15 ans. J’espère seulement pouvoir tenir un document aussi longtemps. »

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Créer un mot de passe contre les pirates

Dans le cas où vous ne le savez pas, les mots de passe sont piratés à gauche et à droite. Twitter, Apple, Facebook et Instagram ont tous déclaré que les hackers avaient accès aux données sur leurs serveurs.

Comme beaucoup d’entre vous sont utilisateurs de ces services et devraient donc réinitialiser leurs mots de passe en ce moment ou alors ils sont des utilisateurs d’autres services susceptibles d’être piratés à l’avenir, nous avons pensé que ce serait un bon moment pour parler de la façon de créer un mot de passe en ligne sécurisé.

Voici quatre conseils qui vous aideront à élaborer une stratégie de mot de passe que les méchants pirates (probablement) ne seront pas en mesure de rompre.

Ne pas utiliser un mot de passe !

Les mots de passe ne sont pas, dans l’ensemble, un excellent paradigme de sécurité. Ils sont faciles à oublier, souvent assez faciles à deviner et une corvée à utiliser. Pourtant, pendant longtemps, ils sont tout ce que nous avions. Heureusement, la technologie moderne nous offre une nouvelle façon de sécuriser les services en ligne : l’identification à deux facteurs. L’identification à deux facteurs vérifie essentiellement chaque connexion en vous envoyant un SMS vous demandant si vous essayez de vous connecter.

Dans certains cas, il peut même utiliser la machine à partir de laquelle vous vous connectez comme un des facteurs d’authentification, plutôt qu’un mot de passe, ce qui rend les choses vraiment faciles : cliquez sur un bouton, répondez à un message sans avoir à se souvenir du nom de jeune fille de votre mère.

L’identification à deux facteurs n’est pas encore disponible sur tous les sites Web, mais elle est de plus en plus courante. Si le service que vous utilisez l’offre, faites-vous plaisir et assurez-vous qu’il est activé.

N’utilisez pas le même mot de passe pour tout !

Avoir un hacker pour accéder à votre compte Facebook n’est pas un gros problème, il est ennuyeux de savoir maintenant quel message pour avez vraiment écrit, ce n’est pas la fin du monde mais imaginez si vous avez utilisé ce même mot de passe pour votre courriel, votre banque, vos cartes de crédit et votre compte de travail.

Bien qu’il ne soit pas possible d’utiliser un mot de passe différent pour chacune des centaines de sites Web avec lesquels vous interagissez probablement, vous devriez au moins pratiquer une approche à plusieurs niveaux. Au sommet se trouvent des sites Web de haute sécurité comme votre banque, vos sites de commerce électronique ou votre carte de crédit, qui devraient avoir des mots de passe complètement uniques. Les sites plus communs comme les réseaux sociaux ou les forums que vous devriez envisager d’utiliser un mot de passe différent, mais où ce n’est probablement pas la fin du monde si un mot de passe est partagé entre les comptes. Enfin, il est acceptable d’avoir un mot de passe jetable pour les jeux ou les sites que vous ne pensez pas visiter plus d’une fois.

La longueur est ce qui compte !

L’ajout de chiffres et de lettres à un mot de passe le rend un peu plus fort, mais le mot de passe le plus fort reste le mot de passe que vous pouvez réellement utiliser. La plupart des gens prennent des raccourcis mnémotechniques, comme changer un « o » en un « 0 » ou virer « 1234 » à la fin, dans l’intérêt d’avoir un mot de passe dont ils peuvent se souvenir. Les hackers connaissent aussi ces astuces, donc ils ne font pas grand-chose pour renforcer votre sécurité.

Ce qui fait la différence, c’est la longueur. Quand il s’agit de casser des mots de passe, vous essayez généralement de battre un ordinateur qui tente de le casser en essayant toutes les combinaisons possibles de caractères. Chaque caractère que vous ajoutez à un mot de passe augmente exponentiellement le nombre total de combinaisons un mot de passe de 8 caractères, en minuscules, prend environ 52 secondes pour l’ordinateur de bureau moyen, alors qu’un mot de passe deux fois plus long caractères spéciaux, prendrait le même ordinateur 8 millions d’années.

Dit simplement : Les mots de passe longs sont plus sécurisés, indépendamment des autres facteurs. Alors faites votre mot de passe le plus longtemps possible. Une excellente façon de le faire est de penser à quatre mots sans lien qui ont au moins cinq lettres de long, dites « evilbuttontoadsdestroy ». C’est un mot de passe de 22 caractères et il faudrait 106 trillions d’années pour se frayer un chemin à travers les méthodes de la force brute. C’est aussi mémorable, imaginez un crapaud maléfique qui pousse un bouton pour faire exploser la Terre.

Faites-vous une faveur cependant et ne choisissez pas les mots de la liste des plus communément utilisés, car ceux-ci seront les premiers qu’un hacker essayera. Cliquez sur le diaporama à droite pour voir certains des mots de passe les plus courants.

Considérons un système de gestion de mot de passe.

Des services comme Lastpass et KeePass vous permettent de consolider tous vos mots de passe dans un seul compte et ils vous offrent un certain nombre d’avantages-ils vous permettent d’utiliser de longues chaînes de caractères aléatoires comme mots de passe, d’utiliser un mot de passe différent pour chaque site ils se souviennent d’eux tous pour vous, vous demandant seulement de vous rappeler un seul mot de passe principal. Cela en fait un excellent choix si vous devez gérer beaucoup de sites différents. Gardez à l’esprit qu’il y a aussi des inconvénients notable que vous mettez tous vos mots de passe dans un endroit, qui peut être lui-même piraté.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Quand un système de connexion fournit de faux mots de passe aux pirates

Une équipe de chercheurs a développé un système qui rend beaucoup plus difficile pour les pirates de hacker des mots de passe utilisables à partir d’une base de données divulguée, ce qui pourrait aider à atténuer les dommages causés par un piratage de données.

Le système est décrit dans un document de recherche qui a été soumis pour examen à la Conférence annuelle sur les applications de sécurité informatique de 2015, qui se tiendra à Los Angeles en décembre.

Appelé ErsatzPasswords, le système vise à rejeter les pirates informatiques qui utilisent des méthodes pour « cracker » les mots de passe, a déclaré Mohammed H. Almeshekah, un étudiant au doctorat à l’Université Purdue en Indiana.
Les hackers « seront toujours en mesure de cracker ce fichier, mais les mots de passe qu’ils vont récupérer sont de faux mots de passe ou des mots de passe leurres », a déclaré Almeshekah.

Les mots de passe sont généralement cryptés lorsqu’ils sont stockés par des organisations. Les mots de passe sont cryptés à l’aide d’un algorithme et cette sortie, appelée hash, est stockée.

Les hachages sont considérés comme plus sûrs à stocker que les mots de passe en texte brut. Il est difficile, mais pas impossible, de trouver un mot de passe en texte brut à partir d’un hachage.

Pour ce faire, les pirates utilisent des techniques de force brute, ce qui implique de créer des listes de mots qui pourraient être des mots de passe possibles et de calculer leur hachage pour voir si une correspondance est trouvée. C’est un travail qui demande beaucoup de temps et de calcul.

Pour réduire ce temps, les hackers utilisent des programmes tels que John the Ripper, qui peut s’appuyer sur de grandes listes de mots de passe provenant de différentes violations de données dont les hachages ont déjà été calculés. Ces listes s’allongent de jour en jour et comme de nombreux utilisateurs ne choisissent pas de mots de passe compliqués, cela accélère le travail des pirates informatiques.

Lorsqu’un nouveau mot de passe est créé pour un service sur un système Linux, une valeur aléatoire appelée « salt » est ajoutée avant d’être cryptée et le hash est stocké.

ErsatzPasswords ajoute une nouvelle étape. Avant qu’un mot de passe ne soit chiffré, il est exécuté par une fonction dépendante du matériel, telle que celle générée par un module de sécurité matérielle, a déclaré Almeshekah.

Cette étape ajoute une caractéristique à un mot de passe qui rend impossible de le restaurer à son texte brut précis sans accès au module, a-t-il dit.

ErsatzPasswords exerce un peu de contrôle sur le sel qui est ajouté au mot de passe afin que ce qui sort du module de sécurité du matériel ressemble à un mot de passe, même s’il est faux, a déclaré Almeshekah.

Le résultat est que si un pirate commence à obtenir des correspondances sur une liste de hachages, tous les mots de passe ne fonctionneront pas. Le hacker ne le sait pas nécessairement jusqu’à ce qu’il ou elle les a essayés pour accéder à un service.

Les services Web sont généralement conçus pour couper les gens après un certain nombre de suppositions erronées, bien que ErsatzPasswords puisse être configuré pour alerter un administrateur lorsqu’un faux mot de passe est entré. Il peut également être configuré pour créer automatiquement un faux compte quand un faux mot de passe est entré, permettant à un administrateur de voir ce que la personne essaie de pirater, a déclaré Almeshekah.

La beauté est sur le côté serveur car un seul fichier de mot de passe doit être stocké. « Même si nous voulons vérifier le vrai mot de passe, nous n’avons pas besoin d’un fichier différent », a déclaré Almeshekah.

Almeshekah a indiqué que les chercheurs ont utilisé un module de sécurité matérielle assez bon marché de Yubico appelé YubiHSM qui coûte environ 500 dollars américains. Pour un grand nombre d’utilisateurs, un type de module de sécurité matériel plus avancé serait nécessaire pour de meilleures performances, ce qui pourrait coûter 10,00 $ et plus, a-t-il ajouté.

Mais configurer ErsatzPasswords du côté serveur est assez facile, dit-il, et le code est disponible sur GitHub. C’est gratuit et est publié sous une licence Open Source Apache.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage

Votre mot de passe est facile à pirater !

La vie moderne exige de nous une série apparemment infinie de choix triviaux, dont la moindre n’est pas l’obligation de créer un mot de passe pour votre compte web de cent-et-unième.

Qui peut être dérangé pour créer et mémoriser encore un bolus sinueux de charabia alphanumérique ? Pas beaucoup d’entre nous, semble-t-il. Selon un nouveau rapport de Splashdata, le mot de passe le plus courant en 2017 était « 123456 », suivi de près par ce vieux mot de passe fidèle, « password », qu’il est charmant de voir encore si populairement déployé.

Est-ce la paresse pure, le manque d’éducation à la sécurité ou autre chose ?

Certains des autres mots de passe populaires sur la liste de Splashdata (extraits principalement d’une énorme fuite des détails des clients Adobe) commencent à peindre un portrait intrigant de l’identité numérique collective. N’est-il pas réconfortant de voir « iloveyou » au n ° 9 ? (À moins que les gens ne le tapent pour eux-mêmes, ce qui impliquerait qu’une utilisation intensive d’Internet vous transforme en un narcissique mousseux). Au n ° 14 est « letmein », qu’on ne peut s’empêcher d’entendre comme contenant un « goddammit » implicite à la fin. (Il nous rappelle aussi qu’un mot de passe a été prononcé à l’origine pour obtenir l’accès à des parties sécurisées d’un palais ou d’une installation militaire). Un peu étonnant, le No 17 est singe, soit par admiration générale pour nos cousins ​​simiens, soit insoupçonnés jusqu’ici. La popularité croissante du spectacle de kung-fu des années 1970 est difficile à dire.
À 24 sur la liste, vraisemblablement contribué par beaucoup de fans de The X-Files, est « trustno1 ».

Mais cela semble un peu contradictoire. Si vous étiez vraiment un passionné de science-fiction paranoïaque qui croyait que le gouvernement était dirigé par des extraterrestres, ne choisiriez-vous pas un mot de passe plus fort ? D’un autre côté, si c’est le gouvernement qui s’en prend particulièrement à vous, vous allez suspecter que les mots de passe ne sont pas pertinents, puisque nous savons maintenant que la NSA et le GCHQ peuvent pirater n’importe quoi.

Mais les espions ne sont pas les seuls à regarder. En effet, il y a aussi des cyber-gangs qui montent des attaques sophistiquées sur des sites Web afin de trouver des informations d’identification, des informations sur les cartes de crédit, etc. Pourquoi leur rendre la tâche facile ? Tom Stafford, professeur de psychologie et de sciences cognitives à l’Université de Sheffield, déclare: « La plupart des gens semblent croire qu’il y a peu de risque d’avoir des mots de passe faibles, la plupart d’entre nous semblent compter sur la sécurité par l’obscurité. » un choix judicieux comme de plus en plus de nos vies sont en ligne.

De plus, on sait depuis longtemps que même lorsque les gens sont encouragés à choisir un mot de passe plus fort que « 123456 » ou « admin », ils tendent à tomber dans des schémas prévisibles. Selon une étude réalisée en 2006 par Shannon Riley sur la psychologie de la génération de mots de passe, les utilisateurs utilisent généralement les dates de naissance, les dates anniversaires, les numéros de téléphone, les numéros de plaque d’immatriculation, les numéros de sécurité sociale, etc. dérivée de zones prévisibles et d’intérêts dans la vie de la personne et pourrait être devinée par la connaissance de base de ses intérêts. D’où tous les détectives de la télévision qui devinent avec brio que le mot de passe du portable du suspect est le nom de son chien.

Nous devrions hésiter à interpréter ces résultats comme montrant que les utilisateurs ordinaires d’Internet sont simplement stupides, cependant. Splashdata, la société qui a compilé cette liste, vend un logiciel de gestion de mot de passe, il est donc compréhensible que la leçon qu’elle tire de ses conclusions est que les gens devraient choisir des mots de passe plus forts, peut-être avec l’aide de ses propres produits. Alors pourquoi pas eux ?

Une raison pourrait être que, puisque nous pensons tous que certains de nos comptes (par exemple, bancaires, Facebook) sont plus importants que d’autres (un Tumblr qui vous envoie une photo d’un chaton tous les matins), nous pensons que cela n’a pas d’importance si nous utilisons des mots de passe faibles pour ce dernier. Mais c’est risqué car cela signifie que ces services deviennent une cible importante pour les pirates, comme l’a fait Adobe. En effet, l’augmentation de l’authentification à deux facteurs où vous avez besoin à la fois d’un mot de passe et d’un code unique généré par votre smartphone pour vous connecter commence à faciliter le problème des mots de passe. Ce sont donc ces comptes « jetables » qui sont vraiment dangereux. De plus, selon une étude réalisée en 2010 par Joseph Bonneau et Sören Preibusch, de nombreux sites utilisent des mots de passe principalement pour des raisons psychologiques, à la fois pour justifier la collecte de données marketing et pour établir des relations de confiance. Avec les clients en d’autres termes, la demande de mot de passe est un placebo commercialement motivé pour commencer.

La deuxième raison pour laquelle les gens pourraient être amenés à choisir des mots de passe aussi faibles quand ils peuvent s’en tirer est que la façon dont la technologie essaie de nous sauver de nous-mêmes est si irritante. Vous connaissez l’exercice sur certains sites Web : votre mot de passe doit comporter entre huit et douze caractères et contenir un mélange de lettres majuscules et minuscules, ainsi que des chiffres, des signes de ponctuation, des symboles monétaires… Il est peu probable que vous vous souveniez de l’un de ceux-ci, encore moins des dizaines.

Stafford dit: « Pour moi, les mots de passe sont un bon exemple de la technologie qui nous demande de ressembler davantage à des ordinateurs qu’à des ordinateurs qui apprennent à nous ressembler: les mots de passe recommandés sont des chaînes arbitraires de chiffres et de chaînes. Pour les ordinateurs de stocker et difficile pour les humains. C’est la réserve des premiers rêves de l’intelligence artificielle, demandant à notre intelligence d’être plus comme l’artificiel. »

En l’occurrence, c’est aussi simplement une mauvaise sécurité. Au point de vue mathématique, une expression pittoresque telle que « citron Beyoncé enclume gâteau » est beaucoup plus difficile à casser que « j &! Wo078: (((« , parce que chaque caractère supplémentaire de la longueur du mot de passe étend les possibilités combinatoires de façon vertigineuse. C’est bien connu des fans du web-comic XKCD, qui a expliqué pourquoi une tentative de brute-force pour pirater le mot de passe « batterie de cheval correcte » prendrait un ordinateur rapide 550 ans. La blague de geek est que, puisque ce dessin animé est apparu, le mot de passe de tout le monde est maintenant « agrafe de batterie de cheval correcte.

Le remplacement en gros de mots de passe textuels par des biométriques fiables (tels que les scanners d’empreintes digitales) est l’une de ces promesses technologiques qui existent depuis des décennies et qui n’ont pas encore abouti malgré le capteur d’empreintes digitales du nouvel iPhone. En attendant, j’aime à penser aux millions de personnes qui choisissent le mot de passe pour leur mot de passe comme une sorte de mouvement dissident silencieux, une vague virtuelle de protestation sardonique contre les multiples ennuis laborieux de l’existence numérique.

Si vous doutez qu’un simple mot de passe puisse être sarcastique, pensez au numéro 25 de la liste la plus populaire, « 000000 », qui a un curieux analogue historique. À la fin des années 1970, selon le livre récent d’Eric Schlosser sur la sécurité nucléaire, Command and Control, il fut décidé que les missiles nucléaires Minuteman de l’armée de l’air américaine devaient tous être munis d’un code avant leur lancement. Dans ce que Schlosser appelle un « acte de défiance » contre les soucis de sécurité, l’USAF a mis le mot de passe à « 00000000 » partout. Je ne sais pas pour vous, mais cela met la possibilité qu’un compte Twitter soit piraté dans une sorte de perspective.

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage