Le remplissage de crédentials est l’utilisation automatisée de combinaisons révélées de noms d’utilisateur et de mots de passe pour accéder illégalement aux comptes utilisateurs et, si nécessaire, les prendre complètement en possession.
Le terme « bourrage de crédants » est composé de « credentials » et « stuffing ». Avec cette procédure, le masque de connexion d’un site web, par exemple une boutique en ligne, est automatiquement rempli. De longues listes de données de connexion divulguées sont traitées. Le calcul derrière cela : Certaines de ces données de connexion resteront valides et pourront alors être mal utilisées, par exemple pour faire des achats dans cette boutique en ligne. Ces listes d’identifiants proviennent d’incidents où des hackers criminels ont pu voler des références. Par exemple, s’ils ont piraté un fournisseur de messagerie, une boutique en ligne ou une société de cartes de crédit et ont obtenu accès aux données de connexion stockées là-bas. Ces listes sont vendues ou circulent gratuitement sur Internet. Le remplissage de crédentials est toujours efficace, car de nombreux utilisateurs utilisent leurs mots de passe plusieurs fois et les modifient rarement. En conséquence, des listes de données de connexion encore plus anciennes restent intéressantes pour les cybercriminels. Les hackers n’entrent pas manuellement les données de connexion, mais automatiquement, via des soi-disant bots. Cela leur permet de tester presque n’importe quel nombre de données pour en vérifier leur validité. Le résultat : selon la société de sécurité informatique Shape Security, les tentatives de bourrage d’identifiants représentent en moyenne 80 à 90 % du trafic de connexion de toute boutique en ligne.
Dans votre travail quotidien, vous rencontrez généralement le sujet du bourrage des diplômes de manière indirecte. Par exemple, si vous vous connectez à votre compte utilisateur sur un site web et qu’on vous demande d’entrer des chiffres et des lettres à partir d’une image déformée en plus de vos données de connexion. Les bots, et donc les tentatives de remplissage de crédentels, échouent dans ce qu’on appelle le code captcha.
Dans le cadre du contrôle de sécurité informatique de Perseus, vous découvrirez si votre adresse e-mail figure dans les listes connues de remplissage de crédents. Si tel est le cas, les recommandations suivantes sont d’autant plus importantes pour vous.
Plus vous changez votre mot de passe souvent, plus vite vos données de connexion perdront leur importance si elles sont volées. Si cela a déjà été fait, vous devriez changer tous les mots de passe que vous utilisez en combinaison avec l’adresse e-mail correspondante.
Idéalement, vous ne devriez pas utiliser un mot de passe deux fois. Un gestionnaire de mots de passe vous aidera à réaliser cet exploit de mémoire (voir paragraphe suivant). Si ce n’est pas une option pour vous pour le moment, utilisez autant de mots de passe différents que possible. Les comptes utilisateurs dont l’exploitation criminelle causerait des dégâts particulièrement importants reçoivent nécessairement des mots de passe uniques et aussi complexes que possible.
Un gestionnaire de mots de passe est un programme qui génère un mot de passe individuel et complexe pour chaque compte utilisateur et le retient lors de visites ultérieures. Il suffit de retenir le mot de passe du gestionnaire de mots de passe lui-même. En général, les gestionnaires de mots de passe offrent un haut niveau de sécurité. Mais ils ne sont pas infaillibles. Puisqu’il s’agit de programmes, ils peuvent théoriquement aussi être piratés.
Par conséquent, protégez autant de comptes utilisateurs que possible grâce à une authentification à deux facteurs.
L’authentification à deux facteurs offre beaucoup de sécurité. Nous recommandons : Utilisez-les sur tous les aspects qui vous offrent l’opportunité.
