La sécurité des mots de passe dépend de la réponse à cette question apparemment simple. Malheureusement, vous ne pouvez pas connaître la réponse tant que vous n’avez pas engagé un testeur d’intrusion impitoyable pour savoir si votre environnement peut résister aux capacités de craquage de mot de passe effroyablement excellentes des pirates informatiques les plus douteux d’aujourd’hui.
L’entière fonction d’employer des testeurs d’intrusion compétents (« pentesters ») est de découvrir si votre environnement est vraiment impénétrable – et si ce n’est pas le cas, exactement comment vous devriez renforcer votre défenses. Les excellents pentesters et red teamers investissent leur temps à essayer d’imiter et de reproduire les authentiques bad stars. Quel est l’intérêt de tester vos installations informatiques sous pression si vous n’utilisez pas la même pression que celle à laquelle vous serez confronté dans le monde réel ?
Vous devez « vous entraîner comme vous combattez ». Sans sparring, comment pouvez-vous espérer sauter sur un ring de boxe et faire quelques rounds avec un combattant compétent ? C’est tout l’intérêt du dépistage de la pénétration basé sur les objectifs et des engagements de l’équipe rouge/violet qui simulent les acteurs de la menace du monde réel.
Le matériel pour casser les mots de passe
Les meilleurs groupes équipent leurs testeurs d’outils de premier ordre. Les mauvais acteurs ont beaucoup investi dans la technologie qu’ils utilisent pour vous attaquer. Vos testeurs doivent absolument adopter la même technique. Bien qu’il existe de nombreux éléments à prendre en compte lors de la création d’une sécurité totale renforcée dans votre entreprise, un domaine dans lequel les adversaires investissent de l’argent et du temps consiste à disposer d’installations de fractionnement de mot de passe effroyablement efficaces.
Croyez-le ou non, les agresseurs peuvent acheter du matériel prêt à l’emploi qui prend en charge les efforts de rupture de mot de passe. Bien qu’il existe une petite variété de fournisseurs de matériel qui s’occupent en particulier de la division des mots de passe, il existe un secteur beaucoup plus important qui construit des systèmes pour les besoins de l’IA/ML. Ce matériel remplit principalement la même fonction : des ordinateurs hautes performances avec des GPU puissants intégrés qui peuvent aider à d’énormes efforts de travail parallèle.
Pour moins de 6 chiffres, vous pouvez acheter 2 ou 3 serveurs 4U montés en rack avec super -des processeurs rapides, des quantités de RAM et de SSD, et jusqu’à 8 GPU Nvidia GeForce 3090 dans chaque boîte.
Cette configuration peut exécuter des trillions de mots de passe par seconde. Pensez à cela : des milliards de suppositions par seconde sont si rapides qu’elles peuvent renforcer toutes les perspectives de mot de passe possibles entre un et 8 caractères – en utilisant n’importe quelle combinaison de majuscules, minuscules, chiffres et caractères spéciaux – en moins d’une heure . Il peut également renforcer les mots de passe dans la variété de 9 à 12 caractères, si les attaquants complètent simplement sa vitesse avec quelques règles, masques et dictionnaires standard.
La configuration maison que je décris est plus mortelle pour sécurité par mot de passe que vous ne le pensez. En réalité, cette collection de matériel de type Frankenstein ne commencerait à montrer aucune tension tant qu’elle ne recherchait pas des mots de passe à 15 caractères. Même dans ce cas, les stars du risque pourraient encore déchiffrer une part décente de mots de passe, avec suffisamment de temps d’attente et de détails contextuels dans un environnement menacé.
Toutes sortes de hachages de mots de passe peuvent être basés sur ces types d’attaques. Les hachages Windows NT (comment votre mot de passe Windows régional est stocké), les comptes Web, les bases de données, le chiffrement de fichiers et même les superviseurs de mot de passe sont protégés par le hachage de mot de passe.
C’est la mauvaise nouvelle.
Le bon côté ? De grandes installations de fractionnement de mot de passe, lorsqu’elles sont utilisées par des pentesters (plutôt que par des ennemis du monde réel), peuvent apporter beaucoup de valeur et de perspicacité à votre programme de filtrage. Il peut :
- Révéler des failles dans la sécurité de votre mot de passe. Avez-vous déjà eu du mal à valider l’investissement dans des options technologiques telles que l’authentification multifacteur (MFA) ? Si vos responsables pensent que les mots de passe des utilisateurs suffisent à protéger les comptes d’utilisateurs et les applications associées, les pentesters peuvent utiliser la rupture de mot de passe pour leur montrer rapidement qu’ils ont tort. Plus précisément, en déchiffrant vos mots de passe, ils peuvent vous fournir la preuve documentée dont vous pourriez avoir besoin pour convaincre la haute direction que l’authentification MFA est une nécessité absolue.
- Récupérez vos mots de passe après un incident. Dans mes propres entreprises en tant que pentester, j’ai eu des engagements où des clients ont en fait perdu des mots de passe pour des comptes critiques en raison d’une attaque, ainsi que des scénarios où un client devait ouvrir des fichiers protégés par mot de passe laissés par un agresseur . Avoir un partenaire de pentesting à vos côtés peut vous aider dans ces types de scénarios tendus, étant donné que le craquage de mot de passe permet aux équipes de récupération d’accomplir des tâches comme celle-ci avec une facilité et une rapidité extraordinaires. Considérez cela comme l’équivalent de la sécurité des mots de passe pour combattre le feu par le feu.
- Donnez un aperçu de la psychologie— et des menaces de sécurité– des mauvaises pratiques de production de mots de passe. Trop d’utilisateurs choisissent des mots de passe de plusieurs manières prévisibles. De nombreuses personnes relèvent d’un modèle commun d’utilisation des saisons, des lieux et des noms. Et vous feriez bien mieux de penser que vos ennemis recueillent la même perspicacité. Plus nous comprenons, mieux nous pouvons vous aider à éduquer vos utilisateurs et à définir des politiques judicieuses pour optimiser la force du mot de passe.
Parmi tous les avantages que vous pouvez retirer du craquage de mot de passe par des pentesters certifiés, parmi le plus important est la compréhension et la perspicacité durables qu’il fournit sur la façon dont vos adversaires agissent. Ces informations peuvent aider à rendre votre entreprise plus puissante à court terme. À plus long terme, ces idées montrent comment nous pouvons continuellement améliorer des options de sécurité plus performantes qui servent le bien supérieur de la société.
La structure et la maintenance d’une infrastructure de cassage de mots de passe ne sont pas faciles. Les pentesters développant ce type d’outils seront confrontés à des contraintes de refroidissement et d’alimentation, à des problèmes de fournisseur et même à des manques de GPU. Il faut beaucoup de travail continu pour maintenir les systèmes à l’écoute et continuellement améliorés pour répondre aux exigences de piratage en constante évolution.
Mais l’effort en vaudra finalement la peine, en particulier pour les entreprises qui exigent une sincérité sans faille lorsqu’elles il s’agit de la sécurité de leur mot de passe. Plus vos pentesters peuvent agir de manière réaliste lors du déplacement de votre environnement et plus ils sont avertis pour violer votre environnement, plus vous serez puissant si un mauvais acteur doit tenter de l’obtenir.
Le piratage des mots de passe continuera d’évoluer, tout comme vos techniques et stratégies de détection de pénétration. Au moment où vous arriverez à votre quatrième ou cinquième tour avec un conseil en pentesting de qualité, votre atténuation des risques aura considérablement augmenté, ce qui signifie que vous pourrez passer à la prochaine étape de maturité de la sécurité.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
