Menu Fermer

Se protéger des attaques par brute force

Dans cet article, vous trouverez les explications et conseils afin de vous protéger des attaques par brute-force.
Celle-ci ont pour but de voler des accès à des comptes en ligne.

Comment se protéger des attaques par brute force.

Les attaques par brute-force : cracker un mot de passe

Qu’est-ce que les attaques par brute force ?

L’article suivant détaille les attaques par brute force.
Le principe et le but et comment elles se mettent en place.

Se protéger des attaques brute-force

La meilleure protection reste une bonne gestion des couples utilisateurs et mots de passe.
L’utilisation de mot passe complexe étant donc très important.

Comprenez que la plupart du temps, il s’agit d’attaque automatisée, là, si vraiment ça fonctionne, c’est que vous un mot de passe vraiment faible.

Mot de passe complexe

Un mot de passe complexe rend l’opération tellement difficile qu’il peut tout simplement décourager l’attaquant ou demander trop de ressources.
Quand ont parle de bon mot de passe, on parle de longueur et mixer les lettres majuscules/minuscules chiffres et caractères spéciaux.
Cela étend considérablement les combinaisons pour casser le mot de passe.
La page suivante donne les règles et conseils à suivre : Comment choisir un mot de passe fort et sécurisé (et sans souvenir)

Le total des combinaisons étant le nombre de caractères à la puissance de la longueur du mot de passe.
Par exemple, un mot de passe composés de seulement des caractères minuscules de longueur 3, donne un total de combinaisons à tester de : 26^3 = 17576
de longueur 8 : 26^8= 208827064576 combinaisons.

La longueur joue beaucoup donc.

  • Nombre (0 à 9) donc 10 chiffres.
  • Caractères (A-Z ou a-z); 26 caractères minuscules et 26 caractères majuscules soit donc 52.
  • Caractères Spéciaux (!, @, ., #, $, %, ^, &,* etc), soit donc au total 32.

Pour un mot de passe de longueur 8 qui accepte les chiffres, majuscules, minuscules et caractères spéciaux, on atteint donc (10+52+32)^8= 6,095689385×10¹⁵

Mots de passe complexes et attaques bruteforce

Le site suivant donne les vitesse pour cracker un mot de passe, selon le nombre de combinaisons et la vitesse de l’ordinateur : http://www.lockdown.co.uk/?pg=combi&s=articles
(Le site est en anglais).

Les mots de passe complexes

Voici les tableaux triés par classe.
Partez du principe que votre ordinateur est de Class E.

Les mots de passe complexes

Comme vous pouvez le constater, un mot de passe de 26 caractères, ne vit que 35 min.

Cela devient intéressant quand on a une combinaison de 62 caractères de longueurs 8 et au delà.

Les mots de passe complexes

Bref, plus vous avez de combinaisons, mieux c’est, car plus l’attaquant devra y passer du temps et des ressources.
Cela peut vite le décourager.

Pour illustrer pourquoi les mots de passe complexes sont importants.
J’ai fait une vidéo avec ophcrack qui tente de cracker des mots de passe d’utilisateurs Windows.
Les mots de passe les plus complexes ne sont pas trouvés :

Comment protéger son serveur des attaques Brute Force

La détection des attaques est possible pour les services WEB, SSH ou FTP.

  • Une bonne politique de mot de passe : forcer les mots de passe complexe, changer ces derniers régulièrement
  • des programmes de détections peuvent bloquer certaines IP si des attaques brute-force sont détectées notamment Fail2ban.
  • Filtrer les accès aux services (filtrage IP, etc) à l’aide d’un pare-feu comme iptables ou ufw : Comment bloquer un pays avec le firewall Linux
  • Pour les serveurs WEB, filtrer les ressources à l’aide d’un WAF (Web Application Firewall)
  • Pour les serveurs WEB : Vous pouvez aussi protéger les accès aux pages de loging, soit avec un htaccess, soit en changeant le nom de la page. Détecter les attaques et faire apparaitre un captcha est aussi très utile.
  • Protéger les comptes sensibles par une double authentification (envoie de SMS) ou des services comme Google Authentificator