'12345' est vraiment mauvais: votre guide ultime pour la sécurité par mot de passe

Nous vous avons conseillé maintes et maintes fois que le seul moyen sûr de stocker et d'utiliser des mots de passe est de faire appel à un gestionnaire de mots de passe, mais que certains d'entre vous n'écoutent pas. Dans une enquête PCMag sur les mots de passe, seuls 24% d'entre vous ont déclaré utiliser un gestionnaire de mots de passe. Que faites-vous le reste? Vous utilisez des mots de passe simples comme mot de passe ou 12345678? Mémoriser un mot de passe complexe et l’utiliser partout? Écoutez, s'occuper de la sécurité des mots de passe n'est pas une mince affaire, mais étant donné l'ampleur du risque - comme l'illustre la récente violation de la collection n ° 1, qui a révélé 773 millions d' adresses électroniques piratées - vous devez faire tout votre possible pour conserver vos mots de passe. sûr.

Même si vous utilisez le meilleur gestionnaire de mots de passe, cela ne garantit pas la sécurité de vos comptes - pas si vous utilisez le gestionnaire de mots de passe pour vous souvenir de ces mêmes mots de passe anciens et fatigués. Vous devez descendre dans les tranchées et remplacer les mauvais mots de passe par des mots de passe plus puissants.

Cette enquête mentionnée ci-dessus a révélé que 35% des lecteurs de PCMag ne modifiaient jamais leur mot de passe, à moins d'y être contraint par une violation. En général, ce n'est pas une si mauvaise chose. L'Institut national des normes et de la technologie ne recommande plus de changer les mots de passe tous les 90 jours. Le NIST recommande désormais d’utiliser des mots de passe longs, tels que "Correct-Horse-Battery-Staple", et de ne les changer que lorsque cela est nécessaire. Mais si vous utilisez des mots de passe terribles, "si nécessaire" signifie maintenant .

Qu'est-ce qui rend un mauvais mot de passe? Nous examinerons certains des attributs de mots de passe terribles, puis nous vous donnerons des indications sur la manière de bien utiliser les mots de passe.

Restez en dehors du dictionnaire

Tous les quelques mois, un média ou un autre publie une liste des pires mots de passe. Nous voyons beaucoup d'options faciles à saisir, comme 123456 et 12345678 et qwerty. Facile pour toi? Sûr. Mais aussi facile pour les pirates à craquer. Les autres mots de passe courants (et médiocres) sont constitués de simples mots du dictionnaire. Nous avons vu le baseball, le singe et les guerriers des étoiles dans la liste des pires mots de passe. Celles-ci sont également faciles à craquer.

Certains sites Web sécurisés se verrouillent après un certain nombre de tentatives de mot de passe erronées, mais beaucoup ne le font pas. Pour ceux qui n'ont pas de verrou à la conjecture, les pirates peuvent croiser une liste d'adresses e-mail avec une liste de mots de passe populaires et configurer un processus automatisé pour continuer à essayer des combinaisons jusqu'à ce qu'ils arrivent.

Un site Web correctement sécurisé ne stocke votre mot de passe nulle part. Au lieu de cela, il exécute le mot de passe via un algorithme de hachage, une sorte de cryptage à sens unique. La même entrée produit toujours la même sortie, mais il n'y a aucun moyen de revenir au mot de passe d'origine à partir du hachage résultant. Si le mot de passe que vous saisissez a la même valeur que celle stockée, vous obtenez un accès. Même si les pirates informatiques capturent les données utilisateur du site, ils ne reçoivent pas de mots de passe, mais seulement des hachages.

Mais les pirates intelligents peuvent craquer les mots de passe faibles même lorsqu'ils sont hachés, s'ils savent quelle fonction de hachage le site a utilisée. Ils commencent par exécuter un énorme dictionnaire de mots de passe communs via la fonction de hachage. Ensuite, ils recherchent les hachages résultants dans les données capturées. Chaque correspondance est un mot de passe fissuré. Les sites offrant la meilleure sécurité améliorent la fonction de hachage avec une technique appelée salage, qui rend ce type de craquage sur table impossible, mais pourquoi prendre le risque? Restez en dehors du dictionnaire.

Penser différemment

Une amie m'a dit un jour son mot de passe parfait: 1qaz2wsx3edc4rfv. Elle pouvait le "taper" en glissant simplement un doigt sur quatre colonnes inclinées du clavier. C'était si parfait qu'elle l'utilisait partout. Et c'était une grosse erreur.

Il ne se passe pratiquement pas une semaine sans qu'une nouvelle ou une entreprise ou un site Web ne soit victime d'une violation, exposant des milliers, voire des millions, de noms d'utilisateur et de mots de passe. Les victimes intelligentes changent leur mot de passe immédiatement. Ceux qui ignorent le problème peuvent se retrouver bloqués dans leur propre compte après la réinitialisation du mot de passe par les pirates.

Ces pirates savent que trop de gens recyclent leurs mots de passe. Une fois qu'ils ont trouvé un couple nom d'utilisateur / mot de passe fonctionnel, ils essaient les mêmes informations d'identification sur d'autres sites. Vous ne craignez peut-être pas de perdre l'accès à votre compte Club Penguin, mais si vous utilisez le même identifiant sur le site Web de votre banque, vous avez de gros problèmes.

Ça s'empire. Si quelqu'un d'autre prend le contrôle de votre compte de messagerie, il peut d'abord vous verrouiller en modifiant le mot de passe. Ils peuvent ensuite accéder à vos autres comptes en envoyant un lien de réinitialisation du mot de passe par courrier électronique à ce compte. Inquiet encore?

Ne deviens pas personnel

Utiliser des informations personnelles comme base de vos mots de passe est terriblement tentant, mais c'est une mauvaise idée. Les chances sont bonnes que le nom de votre chien apparaisse dans les dictionnaires utilisés par les pirates pour les attaques par force brute. D'autres possibilités, telles que les initiales et la date de naissance d'un membre de la famille, ne feront probablement pas l'objet d'une attaque en force, mais si quelqu'un souhaite pirater votre compte de manière spécifique, ces données personnelles peuvent alimenter une attaque par essais.

Ne pensez pas une minute que vos données personnelles sont confidentielles. Il existe des dizaines de sites sur lesquels les internautes peuvent trouver des informations sur n'importe qui: adresse, date de naissance, état matrimonial, etc. Vos publications sur les réseaux sociaux peuvent constituer une autre source d’informations personnelles, en particulier si vous n’avez pas sécurisé correctement vos comptes. Un pirate informatique déterminé (ou un voisin curieux) peut probablement deviner le mot de passe que vous construisez en vous basant sur vos propres données.

Fermer la porte arrière

Si vous n'utilisez pas de gestionnaire de mot de passe, vous avez sûrement déjà oublié le mot de passe d'un site. C'est trop commun, c'est pourquoi pratiquement chaque page de connexion inclut un "Mot de passe oublié?" lien. Certains sites envoient un lien de réinitialisation à votre adresse électronique, tandis que d'autres vous permettent de réinitialiser le mot de passe après avoir répondu à vos questions de sécurité. Et cela ouvre une porte dérobée à quiconque souhaite pirater votre compte.

La plupart des sites offrent des options insondables pour les questions de sécurité. Quel est le nom de jeune fille de ta mère? où es-tu allé au lycée? Quel a été ton premier métier? Comme indiqué précédemment, votre vie personnelle est un livre ouvert à toute personne ayant des compétences en matière de recherche sur Internet. Si possible, ignorez les questions prédéfinies. Créez votre propre question, avec une réponse unique dont vous vous souviendrez toujours, mais que personne ne pourrait deviner.

C'est plus difficile quand le site ne vous laisse pas définir vos propres questions. Dans ce cas, votre meilleur pari est d'utiliser une réponse mémorable qui est un mensonge total. Le nom de jeune fille de ma mère est Obama. Je suis allé à l'école au lycée des martyrs communistes. Pour mon premier emploi, j'étais un dompteur de lion. Il y a un élément de risque, car vous pourriez oublier le mensonge que vous avez choisi. Je suggérerais de stocker ces réponses bizarres sous forme de notes sécurisées dans votre gestionnaire de mots de passe… mais si vous utilisiez un gestionnaire de mots de passe, il se serait rappelé le mot de passe pour vous.

Que faire maintenant que vous vous souciez

J'espère vous avoir convaincu que l'utilisation de mots de passe courants est une idée pourrie, car la construction de mots de passe à partir d'informations personnelles. Et même le meilleur mot de passe fort et aléatoire devient un handicap si vous l'utilisez partout. Si vous êtes prêt à passer à l'action, voici quelques points de départ:

• Utilisez un gestionnaire de mot de passe.
• Basculez vers un meilleur gestionnaire de mots de passe.
• Rappelez-vous un mot de passe principal incroyablement sécurisé pour votre gestionnaire de mots de passe.
• Tirez parti d’un générateur de mots de passe aléatoires pour mettre à niveau vos anciens et mauvais mots de passe.
• Vous pouvez même créer votre propre générateur de mot de passe aléatoire dans Excel.
• Activer l'authentification à deux facteurs lorsque disponible.

Si un site sécurisé ne prend pas en charge la sécurité, vous pouvez toujours perdre ses informations d'identification en raison d'une violation de données, mais en rendant tous vos mots de passe longs, puissants et uniques, vous avez tout mis en œuvre pour protéger vos comptes en ligne.

Et hé! Maintenant que vous êtes sur la bonne voie, envisagez d'ajouter un réseau privé virtuel ou un réseau privé virtuel (VPN). L'utilisation de mots de passe forts pour des sites sécurisés signifie que les autres utilisateurs ne peuvent pas accéder à vos comptes. l'ajout d'un VPN signifie qu'il n'y a aucune chance que quelqu'un puisse intercepter votre connexion à ces sites sécurisés.