Vidéo: LivingSocial (Novembre 2024)
Vendredi dernier, LivingSocial a révélé qu'un attaquant avait accès à plus de 50 millions de comptes. C'est effrayant pour les utilisateurs du site Web populaire des offres, même si les informations financières sont restées sécurisées et les mots de passe cryptés. Mais un gestionnaire de mots de passe peut rendre les attaques futures moins probables et moins dommageables.
Les risques: un effet domino
Des attaques comme celle contre LivingSocial ont d’énormes répercussions pour les utilisateurs, même lorsque votre mot de passe n’a pas été dévoilé. Les dates de naissance, les adresses e-mail et les informations révélées lors de l'attaque peuvent ne pas sembler être des informations cruciales. Après tout, vous n'hésiteriez pas à distribuer ces informations lors d'un dîner. Mais il est extrêmement utile pour les pirates qui construisent des campagnes de phishing ciblées, conçues pour commencer avec un peu de vos informations personnelles et vous inciter à donner beaucoup plus.
Les sites Web utilisent également les adresses électroniques pour vous aider à récupérer les mots de passe perdus ou oubliés. Supposons que l'attaquant LivingSocial, ou quiconque lui achète les informations, parvienne à prendre le contrôle de l'adresse e-mail associée à votre compte. Il pourrait maintenant l'utiliser pour déclencher la réinitialisation de mots de passe sur d'autres sites Web, peut-être même des sites financiers, et en prendre le contrôle également.
Cela nécessite que l'attaquant fasse beaucoup plus de travail, mais si vous utilisez le même nom d'utilisateur (ou adresse électronique) et le même mot de passe pour plusieurs sites, sachez que l'attaquant LivingSocial dispose désormais de la moitié des informations de connexion pour chacun de ces sites.. Pire encore, les mots de passe cryptés n'étaient pas très bien cryptés pour commencer.
En mars, Chester Wisniewski, conseiller principal en matière de sécurité pour Sophos, a expliqué à SecurityWatch que, même lorsque les sites Web hachaient et selaient les mots de passe, un attaquant déterminé pouvait toujours trouver les mots de passe faibles ou usuels. "Les criminels vont mettre de l'ordre dans les plus faciles et ne se soucieront peut-être pas du reste", a déclaré Wisniewski.
Les gestionnaires de mots de passe peuvent vous aider
Les gestionnaires de mots de passe stockent non seulement les mots de passe, mais génèrent pour vous des mots de passe complexes et sécurisés. Les meilleurs auront également un composant mobile vous donnant un accès instantané à vos mots de passe et stockant parfois les informations de connexion pour les applications.
Chez PC Mag, nous avons examiné des dizaines de gestionnaires de mots de passe. Au moment de la rédaction, notre prix Choix des rédacteurs est partagé entre Dashlane et LastPass, qui possèdent tous deux des applications mobiles. Les deux sont gratuits, mais si vous envisagez d'utiliser l'application LastPass, vous devrez vous faire payer un maigre 12 $ / an. Il en va de même pour Dashlane, même si un compte Premium coûte plus cher à 39, 99 $ / an. Toutefois, Dashlane a plusieurs prix différents et peut être débloqué avec des "points de fidélité".
Norton Identity Safe (quatre étoiles, gratuit) stockera également vos informations et les synchronisera sur tous les appareils, même via les applications iOS et Android. Pour ceux d'entre vous qui ont peur des services utilisant le cloud, MyLOK Personal (quatre étoiles, 89, 95 $) utilise une carte à puce et une cryptographie avancée pour protéger vos données. Password Genie (3, 5 étoiles, 15 $) et RoboForm Everywhere 7 (4, 5 étoiles, 19, 99 $ / an) sont deux autres options solides.
En règle générale, vous devez éviter les gestionnaires de mots de passe qui ne capturent ni ne saisissent automatiquement les informations de connexion. Il doit s'agir d'un processus transparent, vous protégeant des enregistreurs de frappe et de votre propre paresse. Un gestionnaire de mots de passe devrait également remarquer lorsque vous mettez à jour vos informations de connexion et proposez d’enregistrer les nouvelles données. Pour ajouter une autre couche de sécurité, envisagez d'utiliser un périphérique de connexion secondaire, tel qu'un jeton ou une analyse biométrique, dans le processus de connexion de votre gestionnaire de mots de passe.
Serez-vous plus en sécurité?
Les gestionnaires de mots de passe comportent le risque inhérent que, si un attaquant s'introduise dans le système, toutes vos informations pourraient être à gagner. Bien que cela soit vrai, sachez que les gestionnaires de mots de passe ont beaucoup plus à faire en matière de sécurité que les autres sites et qu'ils font beaucoup pour protéger vos données. Si votre compte sur un service est compromis, eh bien, il suffit de changer le mot de passe et tout devrait bien se passer. Si vous perdez le contrôle de votre gestionnaire de mots de passe, vous n'utiliserez certainement plus ce service.
Les attaquants jouent également un jeu de chiffres et ne s'intéressent pas vraiment à ce que vous avez à offrir. Ils recherchent beaucoup d'argent par effraction, généralement par le biais de pages vues ou de références à une société affiliée. Certains pourraient s’en prendre à votre compte bancaire, mais cela ouvre l’attaquant à un intérêt beaucoup plus élevé pour la police et pourrait même ne pas fonctionner au tout début.
Un gestionnaire de mots de passe ne vous rendra pas insensible aux attaques, mais limitera les dégâts causés par les attaques futures et rendra l’attaque beaucoup plus difficile. Rappelez-vous que les attaquants, comme la plupart des humains, sont paresseux et que même rendre les choses un peu plus difficiles vous rendra beaucoup plus sûr.
