Attaque des mots de passe par authentification faible

Vol des mots de passe stockés sur le serveur d'un site Web (piratage du mécanisme d'autorité qui stocke les mots de passe par divers moyens dont l'exploitation d'une faille de sécurité).

• Si les mots de passe sont cryptés avec des moyens légers (algorithmes de cryptage MD5 ou SHA-1 ou plus faibles encore) et que les mots de passe en eux-mêmes sont faibles (mots de passe de moins de 14 caractères, mots de passe n'utilisant que des chiffres et des lettres, sans utiliser les caractères spéciaux ou accentués), les outils de cassage de mots de passe ("Rainbow tables") vont venir rapidement à bout des millions de mots de passe volés sous l'autorité faible.

• Si ceux-ci sont stockés en clair !... Sachant que la plupart des utilisateurs se servent du même mot de passe et du même identifiant (login) sur tous leurs comptes !... Par exemple, le site YouPorn, l'un des sites les plus visités au monde (classement Alexa de YouPorn), avec 4,75 millions de comptes, a vu les comptes de sa zone de tchat en ligne, YP Chat et ses 1 million de comptes, piratés (login, mot de passe, adresse e-mail). Or ces comptes étaient stockés en clair et une faille de sécurité a permis d'y accéder ! Ceci a été dévoilé le 21 février 2012 par la publication d'un extrait de cette liste (^{1, 2}). Les usages que peut en faire un pirate sont multiples : chantage à l’e-réputation avec extorsion de fonds, spam, ingénierie sociale, compromission des autres comptes des utilisateurs sur d'autres sites Web, etc.

  Voir plusieurs exemples de Hack de mots de passe (par milliers ou par millions, et même par milliards).

Voir l'attaque Heartbleed dans OpenSSL, qui affecte quasiment tous les mots de passe de tous les internautes du monde.