Vidéo: Mettre ses mots de passe en sécurité sans avoir à les retenir (Novembre 2024)
Peu importe la longueur et la complexité de votre mot de passe: si vous utilisez le même mot de passe sur plusieurs sites, vous êtes exposé à un risque d'attaque élevé.
Le mois dernier, des chercheurs de Trustwave ont découvert un trésor d'environ deux millions de noms d'utilisateur et mots de passe sur un serveur de commande et contrôle basé aux Pays-Bas. Le serveur, qui faisait partie du botnet Pony, avait recueilli les informations d'identification de divers sites Web, ainsi que des comptes de messagerie, FTP, RDP et Secure Shell (SSH) à partir d'ordinateurs d'utilisateur, écrivait alors Daniel Chechik de Trustwave. Sur les 2 millions de références collectées, environ 1, 5 million étaient destinées à des sites Web, notamment Facebook, Google, Yahoo, Twitter, LinkedIn et au fournisseur de services de paie en ligne ADP.
Une analyse plus approfondie de la liste des mots de passe a révélé que 30% des utilisateurs ayant des comptes sur plusieurs comptes de médias sociaux avaient réutilisé leurs mots de passe, a déclaré John Miller, responsable de la recherche sur la sécurité chez Trustwave. Chacun de ces comptes serait vulnérable à une attaque par réutilisation de mot de passe.
"Avec un peu d'effort et quelques requêtes astucieuses de Google, un attaquant pourrait trouver des services en ligne supplémentaires pour lesquels l'utilisateur compromis aurait utilisé un mot de passe similaire et pourrait également accéder à ces comptes", a déclaré Miller à Security Watch .
C'est "juste" un média social
Il est évident que les assaillants ont mal accès aux serveurs FTP et aux comptes de messagerie des victimes, mais il n’est peut-être pas aussi évident que leur mot de passe Facebook ou LinkedIn soit si important. Il est important de se rappeler que les attaquants utilisent fréquemment ces listes comme point de départ pour lancer des attaques secondaires. Même si les attaquants ne volent "que" un mot de passe de réseau social, ils risquent de se retrouver sur votre compte Amazon ou de pénétrer sur votre réseau d'entreprise via un réseau privé virtuel (VPN), car le nom d'utilisateur et le mot de passe sont identiques à ceux de votre compte de réseau social..
Security Watch avertissant fréquemment des dangers de la réutilisation des mots de passe, nous avons donc demandé à Trustwave d'analyser cette liste de mots de passe afin de quantifier l'étendue du problème. Les chiffres obtenus étaient surprenants.
Sur les 1, 48 million de noms d'utilisateur / mots de passe associés aux comptes de médias sociaux, Miller a identifié 228 718 utilisateurs distincts possédant plusieurs comptes de médias sociaux. Selon Miller, 30% de ces noms d'utilisateurs avaient utilisé le même mot de passe pour plusieurs comptes.
Au cas où vous vous le demanderiez, les cybercriminels essayeraient la même combinaison sur des sites aléatoires, soit manuellement, soit via un script, pour automatiser le processus.
Réutiliser aussi mauvais que des mots de passe faibles
Les mots de passe peuvent être difficiles à retenir, et c'est particulièrement vrai pour les mots de passe que la plupart des gens considèrent comme forts. Alors que ces utilisateurs doivent être félicités pour ne pas utiliser de mots de passe faibles tels que "admin", "123456" et "mot de passe" (ce qui posait toujours problème pour ce groupe), le problème est que même les mots de passe complexes perdent leur efficacité s'ils ne sont pas compatibles. " t unique.
Miller a également identifié un autre problème de réutilisation. Alors que de nombreux sites demandent aux utilisateurs de se connecter avec leurs adresses électroniques, d'autres leur permettent de créer leurs propres noms d'utilisateur. Dans cette liste originale de 1, 48 million de combinaisons nom d'utilisateur / mot de passe, il y avait en réalité 829 484 noms d'utilisateur distincts, car les utilisateurs utilisaient des mots courants. En fait, "admin" est apparu sous un nom d'utilisateur 4 341 fois. La moitié des noms d'utilisateurs "faibles" avaient également des mots de passe faibles, ce qui rendait encore plus probable que les attaquants pouvaient forcer brutalement leur chemin sur plusieurs comptes.
Rester en sécurité
Des mots de passe sécurisés sont essentiels pour protéger nos données et notre identité en ligne, mais les utilisateurs optent souvent pour la commodité plutôt que pour la sécurité. C'est pourquoi nous vous recommandons d'utiliser un gestionnaire de mots de passe pour créer et stocker des mots de passe complexes uniques pour chaque site ou service que vous utilisez. Ces applications vont également vous connecter automatiquement, ce qui rendra beaucoup plus difficile pour les enregistreurs de frappe de saisir vos informations. Assurez-vous d'essayer Dashlane 2.0 ou LastPass 3.0, deux gagnants du prix Editors 'Choice Award pour la gestion de mot de passe.
Comme nous l'avons noté le mois dernier, le réseau de zombies Pony a probablement collecté les informations de connexion via des enregistreurs de frappe et des attaques de phishing. Gardez votre logiciel de sécurité à jour pour éviter au premier chef d’être infecté, Webroot SecureAnywhere AntiVirus (2014) ou Bitdefender Antivirus Plus (2014), et respectez nos consignes relatives à la détection des attaques par phishing.
