L'analyse de plus de 25 millions d'attaques par force brute sur les serveurs « pots de miel » de Microsoft révèlent que « 77 % des tentatives ont utilisé un mot de passe entre 1 et 7 caractères. Un mot de passe de plus de 10 caractères n'a été vu que dans 6% des cas », souligne The Record.
Ross Bevington, chercheur en sécurité chez Microsoft, précise que seulement 39 % des tentatives incluaient au moins un numéro, 7 % un caractère spécial, et aucune des espaces blancs.
Les résultats du chercheur suggèrent que les phrases de passe d'une dizaine de caractères incluant des caractères spéciaux sont très probablement à l'abri de la grande majorité des attaques par force brute, tant qu'ils n'ont pas été divulgués en ligne et qu'ils ne font donc pas partie des dictionnaires des attaquants.
La base des données de plus de 14 milliards d'attaques par force brute tentées contre le réseau de serveurs de pots de miel de Microsoft indiquent par ailleurs une augmentation de 110 % des attaques visant les systèmes Docker et Kubernetes par rapport à l'an passé, de 178 % pour les services d'impression réseau, et de 325 % pour ce qui est des serveurs RDP.
« Les statistiques sur SSH et VNC sont tout aussi mauvaises - elles n'ont tout simplement pas beaucoup changé depuis l'année dernière », précise Bevington.
Commentaires (9)
#1
Pourtant, une très grande majorité de services ne permettent pas l’utilisation de l’espace dans un mot de passe.
#1.1
C’est le jeu du chat et de la souris. Les attaques force brute ignorent les espaces car les pirates savent que ce caractère est rare. S’il devient possible, il va devenir moins rare et les attaques commenceront à l’utiliser… Autoriser l’espace n’offre pas plus de securité inhérente qu’autoriser n’import quel autre caractère supplémentaire comme le signe €, c’est juste un caractère de plus autorisé.
Et si elle devient autorisée, la majorité des utilisateurs vont la mettre entre les mots (
) et donc leur position sera prévisible.
password01devientpassword 01Les mots de passe sont le maillon faible depuis toujours, ajouter un caractère possible ne va pas magiquement les rendre super résistants. L’évolution existe, c’est le 2FA comme dit QTrEIX
Edit : “espace’ est féminin quand on parle du caractère typographique
#1.2
Il y en a, c’est vrai, et c’est énervant. Mais je ne dirais pas que ça concerne une très grande majorité. La plupart des sites permettent les espaces blancs. J’en mets partout… Il y en a plus qui refusent les caractères spéciaux non-Ascii (étendu). Comme les smileys, les guillemets français « » ou les apostrophes françaises ’…
Mais le plus frustrant c’est encore ceux qui refusent les mots de passe trop longs, ou ceux qui sont incapables de dire pourquoi ton mot de passe ne leur convient pas !
#2
#3
Cool. Avec mon mot de passe “000” je suis safe \o/
#4
Ça dépend, les guillemets font partie du mot de passe ? ^^
En vrai ça veut dire que la consigne de base : 1 majuscule, 1 minuscule, 1 chiffre, 1 caractère spécial avec un minimum de 8 à 12 caractères reste tout à fait pertinente.
)
Un mot de passe facile à retenir du genre Chien&Chat93 est de ce point de vue sécurisé (je vous rassure c’est pas celui de mon compte NextInpact
#5
C’est Chat&Chien39?
#6
Non, c’est bien Chien&Chat93, mais pas sur Next Inpact. Reste à trouver où…
#7
Pas bien difficile à trouver, c’est forcément DTC