Le fournisseur de renseignements sur les risques, Digital Shadows, a en fait publié une nouvelle étude qui a découvert plus de 24 milliards de combinaisons de noms d’utilisateur et de mots de passe dans la circulation sanguine sur les marchés cybercriminels, nombreux sur le Web sombre – l’équivalent de près de quatre pour chaque personne sur terre. . Ce nombre représente une augmentation de 65 % par rapport à son rapport précédent, qui a été lancé en 2020.
Dans cet ensemble d’informations, Digital Shadows a découvert qu’environ 6,7 milliards de qualifications avaient une association nom d’utilisateur/mot de passe distincte, ce qui suggère que la combinaison d’informations d’identification n’était pas dupliquée dans d’autres bases de données. C’était 1,7 milliard de plus que les ombres numériques trouvées en 2020, mettant en évidence le taux de compromission sur des combinaisons d’informations d’identification entièrement nouvelles. Le mot de passe le plus courant, 123456, représentait 0,46 % du total des 6,7 milliards de qualifications distinctes. Les 100 mots de passe les plus courants représentaient 2,77 % de ce nombre.
Aujourd’hui, les mots de passe et les noms d’utilisateur compromis permettent à toutes sortes d’étoiles dangereuses d’effectuer toutes sortes d’attaques de prise de contrôle de compte (ATO). Une cyber-hygiène fondamentale diminue considérablement la menace d’ATO ; cependant, de nombreux utilisateurs en ligne continuent de recycler des mots de passe ou de développer des mots de passe sensibles et faciles à deviner. Cela a été récemment montré dans le rapport d’enquête sur les violations de données (DBIR) de Verizon, qui a révélé que les informations d’identification volées représentaient la moitié des 20 000 incidents évalués par Verizon. Cela représente une augmentation de 30 % de l’utilisation des informations d’identification prises découvertes dans le DBIR il y a seulement cinq ans.
Comme pour toute cyberattaque, l’ATO commence par une erreur, une mauvaise configuration ou un autre oubli qui offre une chance à quelqu’un avec une intention nuisible. Il est généralement difficile à identifier avant qu’il ne soit trop tard. Il existe de nombreuses situations où l’ATO peut se développer, cependant, un cycle de vie courant implique de reconnaître un service ou un utilisateur vulnérable, d’essayer d’acquérir des comptes, de vérifier s’ils peuvent être utilisés dans d’autres services et de les exploiter à des fins douteuses.
Le dernier rapport Digital Shadows indique que les attaques hors ligne produisent généralement les meilleurs résultats pour diviser les mots de passe ; 49 des 50 mots de passe les plus couramment utilisés peuvent être cassés en moins d’une seconde. L’ajout d’un caractère spécial à un mot de passe standard à dix caractères comprend environ 90 minutes à ce moment-là. L’ajout de deux personnages uniques augmente le temps de fractionnement hors ligne à environ 2 jours et 4 heures. Cependant, Digital Shadows découvre que jusqu’à ce que l’authentification sans mot de passe devienne courante, les meilleures méthodes pour réduire la possibilité et l’effet de l’ATO sont des contrôles simples et l’éducation des utilisateurs – utilisez l’authentification multifacteur, les gestionnaires de mots de passe et les mots de passe complexes et spéciaux. /p>
Les recherches de Digital Shadows examinent les racines de la tendance, les approches et les techniques utilisées par les cybercriminels pour voler ces informations d’identification et les actions que les individus peuvent entreprendre pour devenir une cible plus difficile pour les voleurs d’informations d’identification potentiels.
Lire le rapport complet de Digital Shadows.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur l’entreprise transformatrice innovation et transactions. En savoir plus sur l’adhésion.
Toute l’actualité en temps réel, est sur L’Entrepreneur
