Partager via

Évaluation des menaces par mot de passe

  • Article

Avant d’implémenter du code qui protège les mots de passe, il est préférable d’analyser votre environnement particulier de manière à ce qu’un attaquant tente de pénétrer les défenses logicielles.

Commencez par analyser votre architecture réseau ou système. Voici quelques exemples :

  • Nombre de mots de passe qui doivent être protégés. Un mot de passe est-il nécessaire de se connecter à l’ordinateur local ? Le même mot de passe est-il utilisé pour se connecter au réseau ? Les mots de passe sont-ils propagés à plusieurs serveurs sur le réseau ? Combien de mots de passe doivent être accueillis ?
  • Type de réseau (le cas échéant) qui sera utilisé. Le réseau est-il implémenté à l’aide d’un système d’annuaire d’entreprise (tel que LDAP) et son architecture de mot de passe est-elle utilisée ? Les objets stockant des mots de passe non chiffrés sont-ils ?
  • Ouvrez ou fermez le réseau. Le réseau est-il autonome ou est-il ouvert à l’extérieur ? Si c’est le cas, est-il protégé par un pare-feu ?
  • Accès à distance. Les utilisateurs doivent-ils accéder au réseau à partir d’un emplacement distant ?

Une fois que vous avez analysé votre architecture système ou réseau, vous pouvez commencer à analyser la façon dont un attaquant peut essayer de l’attaquer. Voici quelques possibilités :

  • Lit un mot de passe non chiffré à partir du registre d’un ordinateur.
  • Lisez un mot de passe non chiffré codé en dur dans le logiciel.
  • Lisez un mot de passe non chiffré à partir de la page de codes permutée d’un ordinateur.
  • Lisez un mot de passe à partir du journal des événements d’un programme.
  • Lisez un mot de passe à partir d’un schéma de service d’annuaire Microsoft Active Directory étendu qui contient des objets qui contiennent un mot de passe en texte clair.
  • Exécutez un débogueur sur un programme qui nécessite un mot de passe.
  • Deviner un mot de passe. L’une des techniques peut être utilisée. Par exemple, l’attaquant peut connaître certaines informations personnelles sur un utilisateur et essayer de deviner un mot de passe à partir de ces informations (par exemple, le nom d’un conjoint ou d’un partenaire ou d’un enfant). Ou bien, une méthode de force brute peut être tentée, où toutes les combinaisons de lettres, de chiffres et de ponctuation sont tentées (il est possible uniquement d’utiliser des mots de passe courts).

La comparaison des méthodologies d’attaque possibles avec l’architecture système ou réseau révélera probablement des risques de sécurité. À ce stade, un facteur de risque peut être établi pour chaque risque et les facteurs de risque peuvent être utilisés pour trier les correctifs.