Que l’objectif d’une attaque de force brute soit le mot de passe de votre système central, ou comme dans l’exemple de l’ICloud pour obtenir des informations d’utilisateurs Apple, ces évènements montrent bien l'importance de se protéger contre les procédés de déchiffrement. En ce qui concerne les mots de passe du système privé, vous pouvez vous-même prendre les choses en main. En effet il suffit d’utiliser des combinaisons qui se composent de nombreux types de caractères différents. Dans le meilleur des cas, vous pouvez utiliser des caractères majuscules et minuscules, les caractères spéciaux et des chiffres pour vos mots de passe. Tout cela pour rendre plus difficile le piratage de vos clefs.
Mais la situation se complique pour la création de mots de passe pour les services en ligne. En effet vous êtes alors tributaire des exigences du fournisseur. En général un mot de passe classique comporte au maximum 8 caractères et est souvent limité aux chiffre et lettres, ce qui n’est pas optimal en matière de sécurité. Dans ce cas, vous devriez alors rechercher quelles précautions les opérateurs de site Web prennent afin de se protéger contre les attaques de force brute. Lorsque vous êtes exploitant d’un site Internet avec un mécanisme de login, c’est en effet votre responsabilité. Il existe pour cela deux approches possibles :
- Sécuriser le mécanisme de mot de passe
- Etablir une authentification multifactorielle
La sécurisation du mécanisme de mot de passe devrait être la base pour tout login, mais le scandale de l’ICloud a démontré que ce n’est malheureusement pas toujours le cas. Le but du mécanisme de protection est de rendre le travail du logiciel de force brute bien plus difficile. Cela signifie par exemple que lorsqu’un mot de passe incorrect est rentré plusieurs fois, aucune autre tentative ne peut être réalisée et la fonction de login est alors bloquée. De plus il est aussi possible d’augmenter le temps après et entre chaque tentative de login. Vous pouvez aussi choisir une étape supplémentaire, comme l’applique désormais Apple, qui est de bloquer entièrement le compte de l’utilisateur dans le cas où il y a plusieurs tentatives répétées de login.
De nombreux sites offrent maintenant aussi l’option d’une authentification multifactorielle. Cela entraine un processus de login plus compliqué puisque plusieurs composants sont nécessaires en plus du mot de passe. Cela peut être la réponse à une question secrète, la rentrée d’un code Pin, ou encore répondre à un test Captcha. Un test Captcha est un court test qui consiste à vérifier si le processus de login est bien réalisé par une personne et non comme dans le cas d’un logiciel de force brute, par un robot.