IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Specops Software a publié la dernière mise à jour de sa liste de protection de mots de passe piratés
Cette version comprend notamment l'ajout de mots de passe observés dans des attaques réelles

Le , par Sandra Coret

4PARTAGES

8  0 
Avant cette version, les sources de la liste de protection de mots de passe piratés de Specops comprenaient des listes de mots de passe compromis connus et de dictionnaires courants utilisés dans les attaques. Aujourd’hui, ces listes se voient étoffées, car Specops ajoute à son service de protection de mots de passe piratés des données observées lors d’attaques réelles de mots de passe.

Darren James, Spécialiste Produits chez Specops Software, a déclaré : “Cette extension de ce que fait la protection de mots de passe piratés est une une vraie bonne nouvelle pour nos clients. Non seulement ils sont couverts du côté de la réglementation ‘doit bloquer les corpus de violation’, mais maintenant les réseaux de nos clients sont également protégés contre les mots de passe utilisés dans les attaques qui se produisent en ce moment même.”

Ces nouvelles données d’attaques en direct proviennent d’un système mondial de leurres ou honeypot(pots de miel en français) récemment déployé par l’équipe de Specops, qui collecte les mots de passe utilisés dans les attaques sur les points d’extrémité de leur système. Ces données sont particulièrement utiles pour les administrateurs informatiques qui cherchent à se protéger contre les attaques sur les réseaux Windows, car les leurres sont conçus pour ressembler à de véritables réseaux Windows.

Voici un aperçu de ces attaques :

Satisfaire aux exigences réglementaires ne suffit plus

La longueur minimale des mots de passe est un bon début pour se défendre contre les attaques par force brute ; cependant, vous devrez aller au-delà des exigences réglementaires pour vous protéger contre les attaques réelles. Par exemple, le NIST (National Institute of Standards and Technology) exige un minimum de 8 caractères ou plus et il semble que les attaquants en soient conscients puisque 93 % des mots de passe utilisés dans ces attaques par force brute comprennent 8 caractères ou plus.

Qu’en est-il des exigences en termes de caractères spéciaux ou de complexité ? Les normes telles que PCI ou HITRUST exigent différents types de caractères dans le cadre des règles de mot de passe de votre organisation. Les attaquants semblent tenir compte de ces normes également, puisque l'équipe de recherche a constaté que 68 % des mots de passe utilisés dans les attaques réelles comprennent au moins deux types de caractères.


Principaux mots de passe de 12 caractères ou plus

Les clients affirment que la longueur de 12 caractères est une exigence courante pour les mots de passe. L'équipe de recherche de Specops a donc effectué une analyse pour cette longueur. Elle a non seulement constaté que 41 % des mots de passe utilisés dans des attaques réelles comportent 12 caractères ou plus, mais a également pu établir une liste des mots de passe réels.

Voici le top 10 des mots de passe utilisés dans les attaques par force brute réelles qui ont 12 caractères ou plus :

  • ^_^$$wanniMaBI:: 1433 vl
  • almalinux8svm
  • dbname=template0
  • shabixuege!@#
  • P@$$W0rd0123
  • P@ssw0rd5tgb
  • adminbigdata
  • Pa$$w0rdp!@#
  • adm1nistrator1
  • administrator!@#$



“Ces données nous montrent que les attaquants savent que même nous, administrateurs, pouvons tomber dans des schémas de construction faibles et prévisibles lors de la définition des mots de passe”, a noté James.
Il ajoute : “La bonne nouvelle, c’est que si les organisations ont configuré la protection de mots de passe piratés, il n’y a rien de plus à faire pour accéder à cette extension de la protection.”

Vous souhaitez savoir si l’un de ces mots de passe est utilisé dans l’Active Directory de votre organisation ?
Vous pouvez savoir combien de vos utilisateurs Active Directory utilisent des mots de passe compromis comme ceux-ci en exécutant une analyse gratuite en lecture seule avec Specops Password Auditor.

Télécharger gratuitement Specops Password Auditor

Avec Specops Password Policy et la protection de mots de passe piratés, les entreprises peuvent bloquer plus de 2 milliards de mots de passe compromis dans Active Directory. Ces mots de passe compromis comprennent ceux qui sont utilisés dans des attaques réelles aujourd’hui ou qui figurent sur des listes de mots de passe violés connues, ce qui permet de se conformer facilement aux réglementations sectorielles telles que NIST ou NCSC.

Les systèmes de collecte de données de surveillance des attaques de l'équipe de recherche mettent le service à jour quotidiennement et garantissent que les réseaux sont protégés contre les attaques réelles de mots de passe qui se produisent en ce moment même. Le service de protection de mots de passe piratés bloque ces mots de passe interdits dans Active Directory avec une messagerie personnalisable pour l’utilisateur final qui permet de réduire les appels au service d’assistance.

À propos de Specops Software

Specops Software est spécialisé dans les solutions de gestion des mots de passe et d’authentification. Elle protège les données des entreprises en bloquant les mots de passe faibles et en sécurisant l’authentification des utilisateurs. Avec un portefeuille complet de solutions nativement intégrées à Active Directory, Specops garantit que les données sensibles sont stockées sur place et sous le contrôle de chaque entreprise.

Source : Specops Software

Voir aussi :

Les noms de films les plus populaires utilisés en guise de mots de passe, un classement réalisé par SpecOps Software sur sa base de données de plus de 2 milliards de mots de passe compromis

Apprendre comment utiliser Specops Password Auditor

Une erreur dans cette actualité ? Signalez-le nous !