Les deux méthodes les plus couramment utilisées pour accéder à des comptes non autorisés sont (a) Brute Force Attack et (b) Password Spray Attack . Nous avons expliqué les attaques par force brute^{(Brute Force Attacks)} plus tôt. Cet article se concentre sur Password Spray Attack - qu'est-ce que c'est et comment vous protéger contre de telles attaques.

Définition de l'attaque par pulvérisation de mot de passe

Password Spray Attack est tout le contraire de Brute Force Attack . Dans les attaques Brute Force , les pirates choisissent un identifiant vulnérable et entrent les mots de passe les uns après les autres en espérant qu'un mot de passe les laisse entrer. Fondamentalement^(Basically) , Brute Force est composé de nombreux mots de passe appliqués à un seul identifiant.

En ce qui concerne les attaques par pulvérisation de mot^{(Password Spray)} de passe , un mot de passe est appliqué à plusieurs identifiants^(IDs) d'utilisateur afin qu'au moins un des identifiants d'utilisateur soit compromis. Pour les attaques par pulvérisation de mots de passe^{(Password Spray)} , les pirates collectent plusieurs identifiants^(IDs) d'utilisateur en utilisant l'ingénierie sociale^{(social engineering)} ou d'autres méthodes de phishing^{(phishing methods)} . Il arrive souvent qu'au moins un de ces utilisateurs utilise un mot de passe simple comme 12345678 ou même [email protected] . Cette vulnérabilité (ou le manque d'informations sur la façon de créer des mots de passe forts^{(create strong passwords)} ) est exploitée dans Password Spray Attacks .

Dans une attaque par pulvérisation de mot^{(Password Spray Attack)} de passe , le pirate appliquerait un mot de passe soigneusement construit pour tous les identifiants^(IDs) d'utilisateur qu'il a collectés. S'il a de la chance, le pirate peut accéder à un compte à partir duquel il peut pénétrer davantage dans le réseau informatique.

Password Spray Attack peut donc être défini comme l'application du même mot de passe à plusieurs comptes d'utilisateurs dans une organisation pour sécuriser l'accès non autorisé à l'un de ces comptes.^{(Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.)}

Attaque par force brute^{(Brute Force Attack)} contre attaque par pulvérisation de mot de passe^{(Password Spray Attack)}

Le problème avec les attaques par force brute^{(Brute Force Attacks)} est que les systèmes peuvent être verrouillés après un certain nombre de tentatives avec des mots de passe différents. Par exemple, si vous configurez le serveur pour qu'il n'accepte que trois tentatives, sinon verrouillez le système sur lequel la connexion a lieu, le système se verrouillera pour seulement trois entrées de mot de passe invalides. Certaines organisations en autorisent trois tandis que d'autres autorisent jusqu'à dix tentatives non valides. De nos jours, de nombreux sites Web utilisent cette méthode de verrouillage. Cette précaution est un problème avec les attaques par force brute^{(Brute Force Attacks)} car le verrouillage du système alertera les administrateurs de l'attaque.

Pour contourner cela, l'idée de collecter les identifiants^(IDs) des utilisateurs et de leur appliquer des mots de passe probables a été créée. Avec Password Spray Attack aussi, certaines précautions sont pratiquées par les pirates. Par exemple, s'ils ont essayé d'appliquer le mot de passe1 à tous les comptes d'utilisateurs, ils ne commenceront pas à appliquer le mot de passe2 à ces comptes peu de temps après avoir terminé le premier tour. Ils laisseront une période d'au moins 30 minutes entre les tentatives de piratage.

Protection contre les attaques par pulvérisation de mot de passe^{(Password Spray Attacks)}

Les attaques Brute Force Attack et Password Spray peuvent être arrêtées à mi-chemin à condition que des politiques de sécurité connexes soient en place. Si l'intervalle de 30 minutes est omis, le système se verrouillera à nouveau si une disposition est prise pour cela. Certaines autres choses peuvent également être appliquées, comme l'ajout d'un décalage horaire entre les connexions sur deux comptes d'utilisateurs. S'il s'agit d'une fraction de seconde, augmentez le délai de connexion de deux comptes d'utilisateurs. De telles politiques aident à alerter les administrateurs qui peuvent ensuite arrêter les serveurs ou les verrouiller afin qu'aucune opération de lecture-écriture ne se produise sur les bases de données.

La première chose à faire pour protéger votre organisation contre les attaques par pulvérisation de mots de passe^{(Password Spray Attacks)} est d'éduquer vos employés sur les types d'attaques d'ingénierie sociale, les attaques de phishing et l'importance des mots de passe. De cette façon, les employés n'utiliseront aucun mot de passe prévisible pour leurs comptes. Une autre méthode consiste à ce que les administrateurs fournissent aux utilisateurs des mots de passe forts, expliquant la nécessité d'être prudent afin qu'ils ne notent pas les mots de passe et ne les collent pas sur leurs ordinateurs.

Certaines méthodes permettent d'identifier les vulnérabilités de vos systèmes organisationnels. Par exemple, si vous utilisez Office 365 Entreprise^(Enterprise) , vous pouvez exécuter Attack Simulator pour savoir si l'un de vos employés utilise un mot de passe faible.

Lire ensuite^{(Read next)} : Qu'est-ce que le Domain Fronting ?

Password Spray Attack Definition and Defending yourself

Thе two most commonly used methods to gain access to unauthorized acсounts are (a) Brute Force Attack, and (b) Рassword Spray Attack. We have explained Brute Force Attacks earlier. This article focuses on Password Spray Attack – what it is and how to protect yourself from such attacks.

Password Spray Attack Definition

Password Spray Attack is quite the opposite of Brute Force Attack. In Brute Force attacks, hackers choose a vulnerable ID and enter passwords one after another hoping some password might let them in. Basically, Brute Force is many passwords applied to just one ID.

Coming to Password Spray attacks, there is one password applied to multiple user IDs so that at least one of the user ID is compromised. For Password Spray attacks, hackers collect multiple user IDs using social engineering or other phishing methods. It often happens that at least one of those users is using a simple password like 12345678 or even [email protected]. This vulnerability (or lack of info on how to create strong passwords) is exploited in Password Spray Attacks.

In a Password Spray Attack, the hacker would apply a carefully constructed password for all the user IDs he or she has collected. If lucky, the hacker might gain access to one account from where s/he can further penetrate into the computer network.

Password Spray Attack can thus be defined as applying the same password to multiple user accounts in an organization to secure unauthorized access to one of those accounts.

Brute Force Attack vs Password Spray Attack

The problem with Brute Force Attacks is that systems can be locked down after a certain number of attempts with different passwords. For example, if you set up the server to accept only three attempts otherwise lock down the system where login is taking place, the system will lock down for just three invalid password entries. Some organizations allow three while others allow up to ten invalid attempts. Many websites use this locking method these days. This precaution is a problem with Brute Force Attacks as the system lockdown will alert the administrators about the attack.

To circumvent that, the idea of collecting user IDs and applying probable passwords to them was created. With Password Spray Attack too, certain precautions are practiced by the hackers. For example, if they tried to apply password1 to all the user accounts, they will not start applying password2 to those accounts soon after finishing the first round. They’ll leave a period of at least 30 minutes among hacking attempts.

Protecting against Password Spray Attacks

Both Brute Force Attack and Password Spray attacks can be stopped midway provided that there are related security policies in place. The 30 min gap if left out, the system will again lock down if a provision is made for that. Certain other things also can be applied, like adding time difference between logins on two user accounts. If it is a fraction of a second, increase timing for two user accounts to log in. Such policies help in alerting the administers who can then shut down the servers or lock them down so that no read-write operation happens on databases.

The first thing to protect your organization from Password Spray Attacks is to educate your employees about the types of social engineering attacks, phishing attacks, and the importance of passwords. That way employees won’t use any predictable passwords for their accounts. Another method is admins providing the users with strong passwords, explaining the need to be cautious so that they don’t note down the passwords and stick it to their computers.

There are some methods that help in identifying the vulnerabilities in your organizational systems. For example, if you are using Office 365 Enterprise, you can run Attack Simulator to know if any of your employees are using a weak password.

Read next: What is Domain Fronting?

Related posts

• Cette fonction nécessite un support amovible - erreur de réinitialisation Password

• Définir un Password Expiration Date pour Microsoft Account and Local Account

• Comment faire Browser show enregistré Password dans Text au lieu de points

• LessPass est un Password Generator and Manager gratuit

• Bitwarden Review: GRATUIT Open Source Password Manager pour Windows PC

• Recover Mots de passe de Mail Clients: Mail Password Decryptor

• RandPass Lite est un bulk random password generator gratuit pour Windows 10

• Trend Micro Password Manager pour Windows 10 PC

• Récupérer perdu ou oublié Outlook PST Password avec des outils de récupération gratuits

• Reset Local Account password sur Windows 10 en utilisant Installation Media

• Comment déplacer Microsoft Authenticator sur un nouveau téléphone

• Comment générer un mot de passe dans Google Chrome en utilisant Password Generator

• Click ici pour entrer votre message de certification le plus récent dans Windows 11

• Brute Force Attacks - Definition and Prevention

• F-Secure KEY: Password Manager freeware pour Windows 10

• Impossible de se connecter à Windows 10 | Windows login and password problems

• Activer et Manage Passwords & Form-fill dans Edge browser

• Import Bookmarks, Passwords dans Chrome depuis un autre navigateur

• Enpass Password Manager pour Windows 10

• Forgot Windows Administrator Password Offline NT Password