La technologie

Votre guide ultime pour la sécurité par mot de passe

Dans un récent sondage PCMag sur les mots de passe, seulement 24% des personnes interrogées ont déclaré utiliser un gestionnaire de mots de passe. Le reste d'entre vous a un grave problème. Il est presque certain que vous utilisez des mots de passe faciles à retenir, ce qui les rend faciles à déchiffrer. En outre, la pléthore de sites que vous visitez nécessitant des connexions signifie probablement que vous recyclez les mêmes mots de passe encore et encore. Peut-être que vous pensez que la sécurisation de vos comptes en ligne est sans importance, ou trop de problèmes. Faites-nous confiance, ce n'est pas le cas. L'utilisation de mauvais mots de passe peut avoir de graves conséquences.

Même si vous utilisez le meilleur gestionnaire de mots de passe, cela ne garantit pas la sécurité de vos comptes, pas si vous utilisez le gestionnaire de mots de passe pour vous souvenir de ces anciens mots de passe fatigués. Vous devez entrer dans les tranchées et éteindre les mauvais mots de passe pour les nouveaux, plus forts.

Cette enquête mentionnée ci-dessus a révélé que 35% des lecteurs de PCMag ne modifiaient jamais leurs mots de passe, à moins d'y être forcés par une violation. En général, ce n'est pas tel une mauvaise chose. L'Institut national des normes et de la technologie ne recommande plus de modifier les mots de passe tous les 90 jours. Le NIST recommande maintenant d'utiliser de longs mots de passe comme "Correct-Horse-Battery-Staple" et de ne les modifier que lorsque cela est nécessaire. Mais si vous utilisez des mots de passe terribles, "si nécessaire" signifie maintenant.

Juste ce qui fait un mauvais mot de passe? Nous allons examiner certains des attributs des mots de passe terribles, puis nous vous donnerons des conseils sur la façon de faire les mots de passe de la bonne manière.

Rester en dehors du dictionnaire

Tous les quelques mois, un média ou un autre publie une liste des mots de passe les plus dangereux. Nous voyons beaucoup d'options faciles à taper, comme 123456 et 12345678 et qwerty. Facile pour toi? Sûr. Mais aussi facile pour les pirates de craquer. Les autres mots de passe courants (et médiocres) sont constitués de simples mots de dictionnaire. Nous avons vu le baseball, le singe et les étoiles dans la liste des pires mots de passe. Celles-ci aussi sont faciles à casser.

Mauvais mots de passe

Certains sites Web sécurisés se verrouillent après un nombre défini de tentatives de mot de passe erronées, mais beaucoup ne le font pas. Pour ceux qui n'ont pas de problème de verrouillage, les pirates peuvent croiser une liste d'adresses électroniques avec une liste de mots de passe populaires et configurer un processus automatisé pour continuer à essayer les combinaisons jusqu'à ce qu'ils entrent.

Un site Web correctement sécurisé ne stocke votre mot de passe nulle part. Au lieu de cela, il exécute le mot de passe via un algorithme de hachage, une sorte de chiffrement unidirectionnel. La même entrée produit toujours la même sortie, mais il est impossible de revenir au mot de passe d'origine à partir du hachage résultant. Si le mot de passe que vous tapez est identique à celui stocké, vous obtenez un accès. Même si les pirates informatiques capturent les données utilisateur du site, ils ne reçoivent pas de mots de passe, mais des hachages.

Mais les pirates informatiques intelligents peuvent casser des mots de passe faibles même lorsqu'ils sont hachés, s'ils savent quelle fonction de hachage le site utilise. Ils commencent par exécuter un énorme dictionnaire de mots de passe courants via la fonction de hachage. Ensuite, ils recherchent les hachages résultants dans les données capturées. Chaque correspondance est un mot de passe craqué. Les sites avec la meilleure sécurité améliorent la fonction de hachage avec une technique appelée salage, qui rend ce type de craquage basé sur une table impossible, mais pourquoi prendre le risque? Restez juste en dehors du dictionnaire.

Penser différemment

Un ami m'a dit une fois son mot de passe parfait: 1qaz2wsx3edc4rfv. Elle pouvait le "taper" en glissant simplement un doigt sur quatre colonnes inclinées du clavier. C'était si parfait, elle l'utilisait partout. Et c'était une grosse erreur.

Il ne se passe presque pas une semaine sans nouvelles d’une faille dans une entreprise ou un site Web, exposant des milliers ou des millions de noms d’utilisateur et de mots de passe. Les victimes intelligentes modifient leurs mots de passe immédiatement. Ceux qui ignorent le problème peuvent se trouver exclus de leurs propres comptes après que les pirates ont réinitialisé le mot de passe.

SecurityWatch

Ces pirates informatiques savent que trop de gens recyclent leurs mots de passe. Une fois qu'ils ont trouvé un nom d'utilisateur et un mot de passe correspondants, ils essaient les mêmes informations d'identification sur d'autres sites. Vous ne craignez peut-être pas de perdre l'accès à votre compte Club Penguin, mais si vous utilisez le même identifiant sur le site Web de votre banque, vous avez de gros problèmes.

Ça a empiré. Si quelqu'un d'autre prend le contrôle de votre compte de messagerie, il peut d'abord vous bloquer en modifiant le mot de passe. Ensuite, ils peuvent pénétrer dans vos autres comptes en ayant un lien de réinitialisation du mot de passe envoyé par courrier électronique à ce compte. Inquiet encore?

Ne pas obtenir personnel

Utiliser vos informations personnelles comme base de vos mots de passe est extrêmement tentant, mais c'est une mauvaise idée. Les chances sont bonnes que le nom de votre chien apparaisse dans les dictionnaires utilisés par les pirates pour les attaques en force. D'autres possibilités telles que les initiales et la date de naissance d'un membre de la famille ne tomberont probablement pas dans une attaque par force brute, mais si quelqu'un souhaite pirater votre compte spécifiquement, ces données personnelles peuvent alimenter une attaque par devinettes.

Ne pensez pas un instant que vos données personnelles sont privées. Il existe des dizaines de sites que les gens peuvent utiliser pour trouver des informations sur quiconque: adresse, date de naissance, état matrimonial, etc. Vos publications sur les réseaux sociaux peuvent constituer une autre source d'informations personnelles, surtout si vous n'avez pas correctement sécurisé vos comptes. Un pirate déterminé (ou un voisin curieux) peut probablement deviner tout mot de passe que vous créez en fonction de vos propres données.

Fermez la porte arrière

Si vous n'utilisez pas de gestionnaire de mots de passe, vous avez sûrement oublié le mot de passe d'un site. C'est trop commun, ce qui explique pourquoi pratiquement chaque page de connexion comprend un "Mot de passe oublié?" lien. Certains sites envoient un lien de réinitialisation à votre adresse électronique, tandis que d'autres vous permettent de réinitialiser le mot de passe après avoir répondu à vos questions de sécurité. Et cela ouvre la porte à quiconque veut pirater votre compte.

Question de sécurité et réponse

La plupart des sites proposent des options désastreuses pour les questions de sécurité. Quel est le nom de jeune fille de ta mère? où es-tu allé au lycée? Quel a été ton premier métier? Comme indiqué, votre vie personnelle est un livre ouvert à toute personne ayant des compétences de recherche sur Internet. Si possible, ignorez les questions prédéfinies. Créez votre propre question, avec une réponse unique dont vous vous souviendrez toujours, mais que personne ne pourrait deviner.

C'est plus difficile lorsque le site ne vous permet pas de définir vos propres questions. Dans ce cas, votre meilleur pari est d'utiliser une réponse mémorable qui est un mensonge total. Le nom de jeune fille de ma mère est Obama. Je suis allé à l'école au Communist Martyrs High. Pour mon premier emploi, j'étais un dompteur de lion. Il y a un élément de risque, car vous pourriez oublier quel mensonge vous avez choisi. Je suggérerais de stocker ces réponses insolites comme des notes sécurisées dans votre gestionnaire de mots de passe ... mais si vous utilisiez un gestionnaire de mots de passe, il aurait mémorisé le mot de passe pour vous.

Que faire maintenant que vous vous souciez

J'espère que je vous ai convaincu que l'utilisation de mots de passe communs est une idée pourrie, comme la création de mots de passe à partir d'informations personnelles. Et même le meilleur mot de passe fort et aléatoire devient une responsabilité si vous l'utilisez partout. Si vous êtes prêt à agir, voici quelques points de départ:

  • Utilisez un gestionnaire de mots de passe.
  • Passez à un meilleur gestionnaire de mots de passe.
  • Rappelez-vous un mot de passe principal incroyablement sécurisé pour votre gestionnaire de mots de passe.
  • Profitez d'un générateur de mot de passe aléatoire pour mettre à niveau vos anciens mots de passe incorrects.
  • Vous pouvez même créer votre propre générateur de mots de passe au hasard dans Excel.
  • Activer l'authentification à deux facteurs là où c'est disponible.

Si un site sécurisé ne prend pas en charge la sécurité, vous pouvez toujours perdre les informations d'identification de ce site pour une violation de données, mais en faisant en sorte que tous vos mots de passe soient longs, solides et uniques.

Tags

Leave a Reply

Your email address will not be published. Required fields are marked *

Close
Close