Attaques et menaces
Attaque par force brute
Aussi appelé: Recherche exhaustive
Définition
Attaque qui essaie systématiquement toutes les valeurs possibles — typiquement mots de passe, PIN ou clés — jusqu'à trouver la bonne.
Exemples
- Hashcat cassant des hashes NTLM fuités à plusieurs milliards d'essais par seconde.
- Un attaquant frappant un RDP exposé avec des mots de passe administrateurs courants.
Termes liés
Attaque par dictionnaire
Attaque ciblée de devinette de mots de passe qui essaie des entrées d'une liste précompilée de mots probables, de mots de passe fuités et de variantes générées par règles.
Pulvérisation de mots de passe
Attaque "low and slow" qui essaie un petit lot de mots de passe courants sur de nombreux comptes, en restant sous les seuils de verrouillage et de rate-limit.
Bourrage d'identifiants
Attaque automatisée qui rejoue d'énormes listes de couples identifiant/mot de passe issues d'une fuite contre d'autres services, exploitant la réutilisation des mots de passe.
Attaque par table arc-en-ciel
Attaque de précalcul qui utilise des chaînes alternées de hachage et de fonctions de réduction stockées dans une table compacte pour inverser des hashes non salés bien plus vite qu'une force brute.
Password
Password — definition coming soon.
Authentification défaillante
Catégorie de vulnérabilités où des failles d'authentification ou de gestion de session permettent à un attaquant d'usurper des comptes légitimes.