Vidéo: Ce site est inaccessible (Septembre 2024)
Être en sécurité n'est pas une chose parfois, mais un processus continu. Vous n'êtes pas en sécurité parce que vous utilisez un outil particulier. Vous êtes en sécurité parce que vous appliquez chaque jour un état d'esprit de sécurité.
Prenez des mots de passe. Vous entendez les rappels tout le temps - ne réutilisez pas les mots de passe sur les sites, les applications et les services. Ne choisissez pas de mots de passe faibles. Utilisez un gestionnaire de mots de passe pour pouvoir choisir des mots de passe extrêmement compliqués sans avoir à vous soucier d'essayer de les mémoriser. Activez l'authentification à deux facteurs dans la mesure du possible. Ce sont tous de bons conseils à retenir et à suivre. Plus tôt cette semaine, mon collègue, Neil Rubenking, a poussé plus loin la recommandation du gestionnaire de mots de passe et a déclaré que la connexion à des sites Web tiers avec vos identifiants Google, Facebook, Twitter ou d'autres médias sociaux constituait un risque pour la sécurité. Je n'achète pas cet argument.
Vous avez vu de quoi je parle. Bien que la plupart des services vous obligent à créer un compte à partir de rien, il existe des sites sur lesquels vous pouvez vous connecter avec vos informations d'identification de médias sociaux. Expedia, par exemple, vous permet de vous connecter avec Facebook. Ou Inoreader (mon lecteur RSS de choix), qui vous permet de vous connecter avec Google. Cela vous permet d'ignorer le processus de création de compte et de simplement vous connecter avec un compte que vous avez déjà. Pratique, non? Très. Est-ce une question de sécurité, comme le disait Neil dans son article? Non.
Chaque fois que je vois un site qui me permet de me connecter avec un autre compte, je choisis cette option. Je n'utilise pas mon compte Facebook pour me connecter (désolé, Expedia), mais s'il existe une option pour utiliser mon compte Google, c'est le cas. J'ai un mot de passe fort et complexe et j'ai également activé l'authentification à deux facteurs. Mon compte Google est donc aussi sûr que possible et je compte sur Google pour prendre les mesures nécessaires pour protéger mes informations. Rien contre Facebook, mais je pense avoir pris de meilleures mesures pour protéger mon compte Google que Facebook.
Est-ce que je vous fais confiance? Non
Quand je viens sur un site et que je dois créer un compte, ma première pensée est: "Est-ce que je te fais confiance?" Est-ce que je fais confiance au site pour protéger mes données? Et je ne parle pas seulement de mots de passe et de numéros de cartes de crédit. Est-ce que je crois que le site a pris les mesures nécessaires pour protéger mon numéro de téléphone, mon adresse postale et ma date de naissance dans sa base de données? Honnêtement? Pour la plupart des entreprises, non. La sécurité des applications est difficile (la plupart des développeurs ne font que découvrir les pratiques de codage sécurisé), tout comme la sécurisation efficace de la base de données. C'est un travail en cours, et de nombreuses entreprises ne sont toujours pas en sécurité. Puisque je ne peux pas demander aux entreprises: "Est-ce que je vous fais confiance pour garder mon mot de passe en lieu sûr et ne pas le faire voler par des pirates?" Je prends le chemin facile et suppose que je ne peux pas.
Tu te souviens de la brèche de Gawker il y a quelques années? Toutes ces adresses e-mail et mots de passe exposés parce que les développeurs de Gawker n'ont pas pris de mesures pour les sécuriser correctement. Je ne dis pas que Gawker avait tort - il s’agit d’une société de médias et personne n’y imaginait que quiconque s’en prendrait au système de commentaires du site. Mais c'est arrivé. En tant que consommateur, je ne vais pas essayer de déterminer quelles entreprises sont suffisamment soucieuses de la sécurité pour faire confiance à leur application et lesquelles ne le sont pas. Je vais me concentrer sur qui fait le travail correctement.
La chose importante à propos de la connexion avec mes informations d'identification Google: le site ne conserve pas mon mot de passe ni d'autres informations. Lorsque je clique sur le bouton Google+, je suis redirigé vers une page Google et je m'authentifie auprès des serveurs de Google. Google dit alors au site que oui, je suis qui je le suis et me renvoie au site. Ce qui signifie que mes informations restent chez Google et que le site reçoit simplement un jeton indiquant "elle s'est connectée avec succès, laissez-la passer".
Considérez toutes les violations de site que nous avons vues au cours des deux dernières années. Il y a des sites sur lesquels je m'inscris pour voir à quoi ça ressemble, puis qui abandonnent après quelques jours, car ce n'est pas ce dont j'avais besoin. Si j'ai créé un compte sur le site, mes informations se trouvent dans la base de données de ce site. Même après que j'ai abandonné ce site, mon compte est toujours actif. (C’est la raison pour laquelle je n’aime pas les sites qui ne vous permettent pas de supprimer des comptes, mais c’est une autre histoire pour un autre jour.) C’est beaucoup d’endroits potentiels pour le vol de mes données. Si j'utilise mon compte Google pour me connecter, le site ne contient aucune information me permettant de me faire voler. C'est rassurant. Si j'abandonne ce site, Google me permet de révoquer les autorisations de compte afin que personne d'autre ne puisse se connecter en tant que moi.
Parlons de révocation. Le fait de laisser Google, Facebook et Twitter gérer la connexion signifie que vous pouvez également les utiliser pour bloquer l’accès. Par exemple, j'utilise Google pour me connecter à Inoreader. Dites que je ne veux plus utiliser Inoreader plus. Il suffit d'entrer dans les paramètres de mon compte Google et de cliquer sur "Révoquer l'accès". Et c'est tout. C'est aussi pourquoi j'utilise Twitter pour me connecter à certains sites. Twitter rend extrêmement facile la déconnexion des applications une fois que j'ai terminé.
Mon objectif est d’avoir le moins de bases de données possible dans le monde contenant un enregistrement contenant mes informations personnelles.
Une autre chose que j’aime dans la connexion à Google: les mots de passe spécifiques à un compte. Je génère un mot de passe aléatoire, dont Google sait maintenant qu'il est le mot de passe de ce site. Ce mot de passe ne fonctionne que pour ce site et ne donne accès à rien d'autre. Au lieu de générer des mots de passe via un gestionnaire de mots de passe et de créer un nouveau compte, je conserve le processus avec Google. J'utilise un mot de passe autre que mon mot de passe de messagerie et je passe tout le processus de création du compte en respectant les mécanismes de Google. Ceci est très pratique si je me connecte à une application mobile, par exemple. Google sait maintenant comment vérifier mon identité et, à l'instar de la connexion normale, je révoque simplement le mot de passe et cette application ne peut plus se connecter.
S'en tenir à qui vous avez confiance
Neil a posé une très bonne question: demandez-vous si ce site a besoin de savoir quoi que ce soit sur vous. Le site qui vous concerne a-t-il besoin de connaître votre nom, votre adresse électronique, votre adresse physique et votre numéro de téléphone, ou toute autre information de profil? Si ce n'est pas le cas, ne le remettez pas. Gardez-le avec qui vous avez confiance.
Si votre mot de passe Facebook est "Mot de passe1" et qu'une personne aux intentions néfastes le découvre, alors oui, cette personne peut continuer et se connecter à tout autre site que vous avez associé à votre compte. Mais en quoi est-ce différent du fait que vous avez sélectionné "Mot de passe1" pour commencer par ce site? Si vous utilisez un mot de passe facile à retenir pour votre messagerie ou votre site de réseau social, vous n'utilisez probablement pas une chaîne de caractères difficiles à retenir pour votre compte voyageur fréquent, n'est-ce pas? C'est donc ce mot de passe faible qui crie "Hack me!" pas le fait que vous vous êtes connecté avec un compte différent. Et si quelqu'un a compris votre mot de passe Google, je ne pense pas que votre plus grand souci soit de savoir si cette personne peut maintenant se connecter à vos comptes liés. Pas quand il est si facile de demander simplement des emails de réinitialisation de mot de passe.
La sécurité n'a pas de solution miracle. Un outil donné peut être utilisé à la fois en bien et en mal. Tout est dans la façon dont vous l'abordez. Ma préférence est de rester en dehors des bases de données. Quel est ton?
