Créer un dictionnaire d’exclusion de mots de passe personnalisé avec ChatGPT

Lorsque les cybercriminels essaient de déchiffrer des mots de passe, il est logique qu’ils optent pour la solution la plus facile. Ils commenceront par tester les mots de passe les plus courants et les plus faciles à deviner, car il y a de fortes chances que certains utilisateurs finaux les aient choisis. Il n’est donc pas surprenant que les organisations utilisent la même logique : bloquer les mots de passe les plus faibles et obliger les utilisateurs finaux à choisir un mot de passe plus fort et plus difficile à deviner. C’est là qu’un «dictionnaire de mots de passe personnalisé» entre en jeu.

Les dictionnaires personnalisés sont des listes spécialisées de mots, de phrases et de combinaisons de caractères que les utilisateurs finaux ne sont pas autorisés à choisir lors de la création de leurs mots de passe. Il y a deux éléments : des mots génériques et des termes communs à toutes les organisations (pensez à «admin », «mot de passe» et «bienvenue »). Mais un dictionnaire personnalisé doit être bien plus qu’une liste de mots standard ; il doit inclure des termes spécifiques à votre organisation (comme les noms de produits), ainsi que des mots et expressions courants associés à votre secteur d’activité.

L’ajout d’un dictionnaire personnalisé à votre politique de mots de passe offre à votre organisation un niveau de défense supplémentaire contre les attaques ciblées basées sur les informations d’identification. Cela nécessite toutefois une réflexion sur les mots de passe faciles à deviner que vos utilisateurs finaux peuvent choisir, car les termes de base pertinents pour un cabinet d’avocats américain le seront moins pour une banque allemande. Comment rendre ce processus un peu plus facile ? Nous allons vous expliquer les avantages des dictionnaires personnalisés et comment utiliser les prompts  de ChatGPT (ou votre logiciel d’IA préféré !) pour vous aider à en construire un.

Comment les pirates utilisent les dictionnaires de mots de passe contre vous

Les êtres humains sont des créatures d’habitudes, ainsi de nombreux utilisateurs opteront pour des mots de passe faciles à mémoriser (et donc faciles à deviner). Les pirates informatiques le savent, c’est pourquoi ils ont recours aux attaques par dictionnaire pour cibler les mots de passe faibles les plus courants. Ils combineront également des dictionnaires de mots de passe avec des techniques de force brute pour créer des attaques de mots de passe hybrides, qui appliquent rapidement des itérations de permutations et de combinaisons de caractères à des mots de passe courants. Si un pirate informatique cible votre organisation, il est probable qu’il ait ajouté des termes spécifiques à votre organisation et à votre secteur d’activité.

Les attaques par mot de passe sont efficaces parce qu’elles ciblent les points faibles de la politique d’une organisation en matière de mots de passe. La combinaison de la prévisibilité humaine et de la technologie permet de déchiffrer ou de deviner facilement les mots de passe faibles ou courants. Les pirates utilisent de larges bases de données de mots de passe compromis et faibles pour mener leurs attaques – nous devrions faire de même pour nous défendre. Le dictionnaire de mots de passe personnalisé est un élément clé de toute politique de mots de passe car il empêche l’utilisation de ces mots de passe à risque au sein de votre environnement.

Recherchez les mots de passe compromis dans votre Active Directory

Vous souhaitez savoir combien de mots de passe de vos utilisateurs sont déjà compromis ? Effectuez une analyse rapide et gratuite de votre Active Directory avec Specops Password Auditor qui le compare à une liste de plus d’un milliard de mots de passe uniques compromis connus. Téléchargez votre outil d’audit gratuit ici.

Utiliser ChatGPT pour construire votre dictionnaire personnalisé

Pour créer un dictionnaire personnalisé de mots de passe à exclure à l’aide de ChatGPT ou d’un autre logiciel d’IA, vous pouvez suivre les étapes suivantes.

Listes de mots de passe accessibles au public

Il existe déjà plusieurs dictionnaires de mots de passe et fichiers de mots de passe prêts à l’emploi qui peuvent être téléchargés gratuitement et utilisés comme base pour un dictionnaire de mots de passe personnalisé, que vous pouvez demander à ChatGPT de répertorier. Les deux premiers suggérés par ChatGPT ci-dessous sont la célèbre liste de mots de passe HaveIBeenPwned et la base de données de mots de passe RockYou.. Plusieurs autres ont également été suggérées, mais nous ne les énumérerons pas toutes ici. Vous pouvez choisir celles qui vous semblent utiles et les combiner.

Mots de passe faibles spécifiques à votre organisation

Ensuite, vous devez réfléchir aux mots, termes et expressions spécifiques à votre organisation. Par exemple, le nom de votre entreprise, sa localisation, ses produits, les noms de code de ses projets, etc. Vous trouverez ci-dessous un exemple fictif que nous avons réalisé. L’exercice sera bien sûr plus efficace si vous incluez des informations plus spécifiques dans votre prompt. ChatGPT propose une dizaine de catégories de mots de passe potentiellement faibles (certaines meilleures que d’autres !). Nous avons partagé les trois premiers ensembles de notre entreprise fictive ci-dessous.

Nous avons également demandé à ChatGPT de créer des variantes de ces mots de passe faibles potentiels, car souvent les utilisateurs finaux ajoutent simplement une lettre majuscule et un caractère spécial à un mot de passe faible pour contourner la politique de mots de passe d’une organisation. Vous pouvez voir le résultat ci-dessous. Encore une fois, nous n’avons pas fait de capture d’écran de tous les éléments, mais simplement des trois premières séries d’exemples proposés par l’IA.

Compiler tous les mots de passe

Vous pouvez à présent générer un fichier que vous pourrez ajouter aux listes accessibles publiquement. Vous trouverez ici quelques conseils techniques sur la configuration de votre dictionnaire personnalisé. Il sera également utile d’affiner ce processus au fur et à mesure. Nous vous conseillons d’y revenir plusieurs fois par an plutôt que de considérer cet exercice comme réalisé une bonne fois pour toutes. N’oubliez pas que si vous pouvez générer une liste des mots de passe potentiels aussi facilement, les pirates informatiques le peuvent aussi !

Aller plus loin que les dictionnaires personnalisés

La meilleure défense contre les cyberattaques liées aux mots de passe est une stratégie globale visant à éliminer les mots de passe faibles et compromis. L’intégration de dictionnaires personnalisés à vos politiques de mots de passe contribuera à améliorer la sécurité de votre organisation, en protégeant vos utilisateurs, vos données et vos systèmes. Mais tout comme les attaquants multiplient les techniques d’attaque, nous devons également multiplier nos défenses de sécurité, car même des mots de passe forts peuvent être compromis au fil du temps et à l’insu de l’utilisateur final. Pour de nombreuses organisations, le moyen le plus simple de procéder consiste à utiliser un outil tiers.

Par exemple, en combinant votre dictionnaire personnalisé avec la fonction de protection contre les compromissions de mots de passe de Specops Password Policy, votre Active Directory sera continuellement scanné et confronté à notre base de données de plus de quatre milliards de mots de passe compromis connus. La base de données comprend des mots de passe provenant d’un système de surveillance des attaques en temps réel qui surveille les attaques par force brute en direct, ainsi que des données volées par des logiciels malveillants provenant de notre équipe de renseignement sur les menaces dirigée par des humains. Cela vous permet de mettre en place une défense puissante contre les attaques par dictionnaire et la réutilisation des mots de passe.

Renforcez la sécurité de votre organisation en ajoutant un dictionnaire personnalisé et en bannissant plus de quatre milliards de mots de passe compromis connus : Essayez gratuitement Specops Password Policy.