Vidéo: No Agenda Podcast 1286: Rory's Dad [by Adam Curry & John C. Dvorak] October 15th, 2020 (Novembre 2024)
Le mois dernier, John Dvorak, éditorialiste de longue date du PCMag et auto-proclamé "geek grincheux", a écrit une diatribe sur le processus de réinitialisation du mot de passe. J'étais sérieusement occupée à couvrir la conférence RSA à San Francisco, donc je n'y ai pas fait très attention. Maintenant que j'ai jeté un coup d'œil, je peux affirmer que la position de John est complètement erronée. Pour emprunter une phrase de " Game of Thrones ", vous ne savez rien, John Dvorak!
Dvorak a déclaré: "Qu'est-il arrivé à l'idée d'envoyer à quelqu'un le mot de passe plutôt qu'un lien de réinitialisation? J'ai aimé l'ancien mot de passe." Il a continué à se moquer de l'utilisation d'un lien de réinitialisation à la place, en disant "Rien de tout cela ne me protège ni qui que ce soit d'autre. C'est une charade. Comment cela protège-t-il quelque chose?" Eh bien, John, je vais te le dire.
Ils ne l'ont pas
La principale raison pour laquelle un site Web sécurisé ne vous envoie pas un mot de passe oublié est très simple: ils ne l’ont pas. Ils ne le stockent nulle part. Et c'est une bonne chose. S'ils ne stockent pas votre mot de passe, celui-ci ne peut pas être volé par des pirates, ni affiché sur Pastebin par un employé mécontent. Vraiment pour vrai, un site Web qui stocke réellement votre mot de passe met en danger votre vie privée.
Ainsi, s’ils ne stockent pas votre mot de passe, comment peuvent-ils savoir que vous avez saisi le bon? La réponse réside dans un concept appelé hachage. Le hachage ressemble beaucoup au cryptage, mais c'est un processus à sens unique. La même entrée dans un algorithme de hachage produit toujours la même sortie, mais il n'y a aucun moyen de prendre cette sortie et de redécouvrir l'original.
Dites que vous vous inscrivez pour un nouveau compte en ligne en utilisant votre mot de passe préféré, qui est "mot de passe". Le site met ce que vous avez entré via un algorithme de hachage et récupère un charabia comme 991CEFz & Nw36, qu’il stocke. Lorsque vous vous connectez, le site utilise le mot de passe que vous avez entré avec le même algorithme. Si le résultat correspond, vous êtes po
Ils ne devraient pas l'envoyer
Même si votre site a été enregistré sur un site sécurisé, il ne doit pas vous l'envoyer par courrier électronique. Le courrier électronique est intrinsèquement peu sécurisé. Vos messages rebondissent de serveur en serveur en allant à votre boîte de réception. À moins que vous n'utilisiez une sorte de cryptage de courrier électronique, votre mot de passe n'est tout simplement pas sûr pendant vos déplacements.
Dvorak affirme qu'un lien de réinitialisation de mot de passe est tout aussi vulnérable. Il a tort D'une part, les liens de réinitialisation sont généralement de courte durée. Un peu de temps après avoir demandé le lien, il devient invalide. Une fois que vous avez utilisé le lien, là encore, il devient invalide. De plus, l’utilisation du lien établit une connexion SSL sécurisée entre votre navigateur et les serveurs du site. Vous entrez votre nouveau mot de passe, le site le hache et stocke le résultat, et vous êtes de retour dans les affaires.
Mais je ne m'en souviens pas!
Dvorak évoque le problème de son compte Dropbox, qu’il n’utilise que quelques fois par an. Naturellement, lorsqu'il est obligé de l'utiliser, il ne se souvient plus du mot de passe. En fait, un mot de passe dont vous vous souviendrez facilement est très probablement celui que quelqu'un d'autre pourrait deviner. Ce qu'il a vraiment besoin de faire, c'est de commencer à utiliser un gestionnaire de mots de passe et de changer tous ses mots de passe existants en nouveaux, forts et uniques.
- Comment faire des mots de passe insanely Secure Comment faire des mots de passe insanely Secure
- Les meilleurs gestionnaires de mots de passe pour 2019 Les meilleurs gestionnaires de mots de passe pour 2019
- Le dilemme de réinitialisation du mot de passe Le dilemme de réinitialisation du mot de passe
Oui, le passage à des mots de passe forts nécessite un certain travail, mais cela en vaut la peine. Notre propre Jill Duffy explique comment elle s’est comportée pendant cinq semaines. Et ça n'a pas besoin d'être cher. Certains des gestionnaires de mots de passe gratuits disponibles font un excellent travail.
"Mais je dois toujours me souvenir de ce mot de passe principal fort", j'entends presque John dire. En effet vous faites. Mais ce n'est qu'un mot de passe et il existe des moyens de le rendre mémorable. De plus, vous l'utiliserez tous les jours, pas une fois par an. Alors, John, considère ceci comme ton réveil; Il est temps de rejoindre le monde moderne et de vous procurer un gestionnaire de mots de passe.
