Les attaques par force brute sont assez simples à comprendre, mais difficiles à contrer. Même un système de cryptographie complexe peut désormais être forcé par une attaque par force brute (ou force brute) menée par une série d'ordinateurs rapides.
Ces attaques par force brute peuvent être lancées contre tout type de cryptage, et elles deviennent plus rapides et plus efficaces à chaque fois que des ordinateurs de plus en plus puissants sont produits.
Les attaques par force brute ou «force brute» dans le domaine informatique sont assez simples à comprendre.
Ayant un programme protégé par mot de passe, un pirate qui veut le déchiffrer commence à essayer, en série, toutes les combinaisons de caractères, symboles, lettres ou chiffres jusqu'à ce que la bonne clé soit trouvée.
De toute évidence, ces tentatives ne sont pas faites à la main, mais automatiquement avec un programme informatique aussi rapide et puissant que l'ordinateur utilisé.
L'attaque par force brute commence avec les clés d'un caractère, puis avec deux et ainsi de suite jusqu'à ce qu'il le puisse.
Une attaque par dictionnaire est similaire à la force brute, mais recherche des mots écrits dans un dictionnaire qui est une liste de mots de passe courants .
Dans la pratique, au lieu d'essayer toutes les combinaisons possibles de mots de passe, nous essayons les mots les plus utilisés par des personnes telles que, par exemple, les noms propres, les noms de villes, les noms des footballeurs, les années et les dates, etc.
Gardez à l'esprit que les mots de passe et les clés de cryptage sont des choses différentes: la clé est générée de manière totalement aléatoire tandis qu'un mot de passe doit être mémorisé et saisi manuellement, c'est donc un mot plus simple.
Trouver la clé de chiffrement est difficile et nécessite une attaque Brute Force tandis que les mots de passe sont trouvés avec de simples attaques par dictionnaire.
Les attaques par force brute ne fonctionnent pas pour les sites Web .
Il existe une nette différence entre une attaque en ligne et une attaque par force brute hors ligne.
Par exemple, si un attaquant voulait voler mon mot de passe Gmail, il ne pouvait pas trouver mon mot de passe en essayant les différentes combinaisons sur le site Gmail car Google l'empêche.
Après plusieurs tentatives, en fait, il bloque l'accès en demandant d'entrer un code Captcha pour empêcher certains programmes automatiques de tenter d'accéder.
Les services qui donnent accès aux comptes en ligne ainsi que Facebook arrêtent les tentatives d'accès et ceux qui tentent d'y accéder trop souvent en se trompant de mots de passe.
En revanche, si le pirate avait accès à un ordinateur doté d'un programme de gestion de mot de passe avec une clé chiffrée, il peut avoir tout le temps de lancer une attaque par force brute ou par dictionnaire en le maintenant actif jusqu'à ce que le mot de passe soit trouvé. .
Il n'y a donc aucun moyen d'empêcher un grand nombre de mots de passe d'être essayés dans un court laps de temps.
Théoriquement, aucun chiffrement n'est invincible même s'il peut prendre plus d'un mois pour briser les résistances les plus résistantes.
hash
Des algorithmes de hachage puissants peuvent ralentir les attaques par force brute.
Ces algorithmes de hachage tels que SHA1 et MD5 effectuent un travail mathématique supplémentaire sur un mot de passe avant de le stocker.
Une attaque par force brute sera beaucoup plus lente avec un chiffrement par hachage.
La vitesse d'une attaque Brute-Force dépend entièrement du matériel utilisé.
Les agences de renseignement ne peuvent construire que du matériel spécialisé pour trouver des clés de chiffrement.
À titre indicatif sur le site Web d'Ars Tecnica, il est signalé qu'un groupe de 25 GPU pourrait casser chaque mot de passe Windows jusqu'à 8 caractères en moins de six heures. L'algorithme Microsoft NTLM utilisé n'est plus assez résistant, mais c'était à l'époque où il a été créé.
Protégez nos données contre les attaques par force brute.
Il n'y a aucun moyen de vous protéger complètement, mais il est peu probable que quelqu'un verse des attaques de force brute de haut niveau contre nous, de simples mortels.
Il n'est donc pas nécessaire de trop s'inquiéter de subir des cyberattaques aussi complexes.
Dans tous les cas, il est important de protéger les données cryptées en essayant de ne laisser personne y accéder et d'utiliser des mots de passe sécurisés auto-générés (donc des clés de cryptage)
Le problème est plutôt de se défendre contre les attaques d'ingénierie sociale pour voler des données personnelles et frauder qui ne reposent pas tant sur la technique que sur l'ingéniosité et la ruse.
Par exemple, n'ouvrez jamais de courriels vous demandant d'accéder à notre compte bancaire via Internet pour le sécuriser ou approuver de nouvelles règles.
Deuxièmement, cependant, il est toujours important d'utiliser des mots de passe complexes et de suivre les conseils pour générer un mot de passe fort pour tous les sites Web afin qu'il puisse être mémorisé.
Vous pouvez toujours utiliser un programme comme LastPass ou KeePass pour gérer les mots de passe de manière centralisée, couvrant tous les mots de passe avec une clé de chiffrement.
