Attaque des mots de passe par authentification faible

Attaque par authentification faible : le mécanisme d'authentification mis en place comporte des faiblesses ou failles (stockage en clair…).

cr 10.11.2009 r+ 05.11.2022 r- 27.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)

Sécurité des mots de passe
Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender)

Sommaire (montrer / masquer)
01 Attaque authentification faible Autour de ce sujet dans Assiste FAQ

Attaque authentification faible

Vol des mots de passe stockés sur le serveur d'un site Web (piratage du mécanisme d'autorité qui stocke les mots de passe par divers moyens dont l'exploitation d'une faille de sécurité).

Si les mots de passe sont cryptés avec des moyens légers (algorithmes de cryptage MD5 ou SHA-1 ou plus faibles encore) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés sous l'autorité faible.
Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité a permis d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (^{1, 2}). Les usages que peut en faire un pirate sont multiples : chantage à l’e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc.
Voir plusieurs exemples de Hack de mots de passe (par milliers ou par millions, et même par milliards).

Voir l'attaque Heartbleed dans OpenSSL, qui affecte quasiment tous les mots de passe de tous les internautes du monde.

Aidez Assiste – autorisez quelques publicités et cliquez-les

Vol des mots de passe stockés sur le serveur d'un site Web (piratage du mécanisme d'autorité qui stocke les mots de passe par divers moyens dont l'exploitation d'une faille de sécurité).

Si les mots de passe sont cryptés avec des moyens légers (algorithmes de cryptage MD5 ou SHA-1 ou plus faibles encore) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés sous l'autorité faible.
Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité a permis d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (^{1, 2}). Les usages que peut en faire un pirate sont multiples : chantage à l’e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc.
Voir plusieurs exemples de Hack de mots de passe (par milliers ou par millions, et même par milliards).

Voir l'attaque Heartbleed dans OpenSSL, qui affecte quasiment tous les mots de passe de tous les internautes du monde.

FAQ (QFP - Questions fréquemment posées)

Autour de ce sujet dans Assiste

Dossier (collection) : Mots de passe
Introduction au dossier Concepts, attaques, défenses 16 formes d'attaques des mots de passe Attaque en force brute Attaque Man in the Middle Attaque par authentification faible Attaque par authentification frauduleuse Attaque par caméra de surveillance Attaque par dictionnaire exhaustif Attaque par espionnage humain Attaque par ingénierie sociale Attaque par keylogger Attaque par keylogger acoustique Attaque par keylogger électromagnétique Attaque par le virus PEBCAK Attaque par phishing Attaque par sniffing sur protocole HTTPS Attaque par tables arc-en-ciel Attaques célèbres et réussies de mots de passe Décrypter un hashcode Double authentification Générateur de hashcode cryptographique Générateur de mots de passe Générateur d'identifiant (pseudo) Heartbleed (faille dans OpenSSL) affecte les mots de passe Identifiant Identifier l'algorithme de hachage utilisé Jeux de caractères utilisés dans les mots de passe Logiciels craqueurs de mots de passe Mot de passe Mot de passe : test de solidité Mots de passe imbéciles Mots de passe par défaut (usine, constructeur, éditeur) Risque juridique de complicité passive de l'internaute Virer le mot de passe protégeant le BIOS Termes (encyclopédie) CRC CRC-1 CRC-12 CRC-16 CRC-32 CRC-64 MD5 NTLM SHA-1 SHA-2 SHA-224 SHA-256 SHA-384 SHA-512 BIOS Chiffre clé Clavier virtuel CMOS Condensat Cryptographie Exploit Hack Hacker Hashcode Heartbleed Identifiant Ingénierie sociale Keylogger Login Mots de passe Password Cracker Password Revealer Password Stealer Phishing Rainbow Tables (Tables Arc-en-ciel) Spyware UEFI Logithèque HashTab - Calcul de condensats (Windows) SummerProperties - Calcul de condensats

Dossier (collection) : Mots de passe

Introduction au dossier

Concepts, attaques, défenses
16 formes d'attaques des mots de passe
Attaque en force brute
Attaque Man in the Middle
Attaque par authentification faible
Attaque par authentification frauduleuse
Attaque par caméra de surveillance
Attaque par dictionnaire exhaustif
Attaque par espionnage humain
Attaque par ingénierie sociale
Attaque par keylogger
Attaque par keylogger acoustique
Attaque par keylogger électromagnétique
Attaque par le virus PEBCAK
Attaque par phishing
Attaque par sniffing sur protocole HTTPS
Attaque par tables arc-en-ciel
Attaques célèbres et réussies de mots de passe
Décrypter un hashcode
Double authentification
Générateur de hashcode cryptographique
Générateur de mots de passe
Générateur d'identifiant (pseudo)
Heartbleed (faille dans OpenSSL) affecte les mots de passe
Identifiant
Identifier l'algorithme de hachage utilisé
Jeux de caractères utilisés dans les mots de passe
Logiciels craqueurs de mots de passe
Mot de passe
Mot de passe : test de solidité
Mots de passe imbéciles
Mots de passe par défaut (usine, constructeur, éditeur)
Risque juridique de complicité passive de l'internaute
Virer le mot de passe protégeant le BIOS

Termes (encyclopédie)
CRC
CRC-1
CRC-12
CRC-16
CRC-32
CRC-64
MD5
NTLM
SHA-1
SHA-2
SHA-224
SHA-256
SHA-384
SHA-512
BIOS
Chiffre clé
Clavier virtuel
CMOS
Condensat
Cryptographie
Exploit
Hack
Hacker
Hashcode
Heartbleed
Identifiant
Ingénierie sociale
Keylogger
Login
Mots de passe
Password Cracker
Password Revealer
Password Stealer
Phishing
Rainbow Tables (Tables Arc-en-ciel)
Spyware
UEFI

Logithèque
HashTab - Calcul de condensats (Windows)
SummerProperties - Calcul de condensats

Attaque des mots de passe par authentification faible

Attaque par authentification faible : le mécanisme d'authentification mis en place comporte des faiblesses ou failles (stockage en clair…).

Attaque authentification faible

FAQ (QFP - Questions fréquemment posées)

Autour de ce sujet dans Assiste

Ailleurs dans Assiste et sur le Web