'12345' est vraiment mauvais : votre guide ultime pour la sécurité des mots de passe

Nous vous avons conseillé à maintes reprises que le seul moyen sûr de stocker et d'utiliser des mots de passe est de s'appuyer sur un gestionnaire de mots de passe, mais certains d'entre vous n'écoutent pas. Dans une enquête PCMag sur les mots de passe, seulement 24 % d'entre vous ont déclaré utiliser un gestionnaire de mots de passe. Que faites-vous, vous autres ? Utiliser des mots de passe faciles comme mot de passe ou 12345678 ? Mémoriser un mot de passe complexe et l'utiliser partout ? Écoutez, prendre soin de la sécurité des mots de passe n'est pas une mince affaire, mais compte tenu de l'énorme ampleur du risque, comme l'illustre la récente violation de la Collection #1, qui a révélé 773 millions d' adresses e-mail piratées, vous devez faire tout ce que vous pouvez pour conserver vos mots de passe. en sécurité.

Même si vous utilisez le meilleur gestionnaire de mots de passe, cela ne garantit pas la sécurité de vos comptes, pas si vous utilisez le gestionnaire de mots de passe pour vous souvenir de ces mêmes vieux mots de passe fatigués. Vous devez descendre dans les tranchées et remplacer les mauvais mots de passe par de nouveaux, plus forts.

Cette enquête mentionnée ci-dessus a révélé que 35% des lecteurs de PCMag ne changent jamais leurs mots de passe, à moins d'y être contraints par une violation. En général, ce n'est pas une si mauvaise chose. Le National Institute of Standards and Technology ne recommande plus de changer les mots de passe tous les 90 jours. Le NIST recommande désormais d'utiliser des mots de passe longs comme "Correct-Horse-Battery-Staple" et de ne les changer que lorsque cela est nécessaire. Mais si vous utilisez des mots de passe terribles, "si nécessaire" signifie maintenant .

Qu'est-ce qui fait un mauvais mot de passe ? Nous examinerons certains des attributs des mots de passe terribles, puis nous vous donnerons quelques indications sur la manière de créer correctement les mots de passe.

Restez en dehors du dictionnaire

Tous les quelques mois, un média ou un autre publie une liste des pires mots de passe. Nous voyons beaucoup d'options faciles à saisir, comme 123456 et 12345678 et qwerty. Facile pour toi? Sûr. Mais aussi facile à craquer pour les pirates. D'autres mots de passe courants (et médiocres) consistent en de simples mots du dictionnaire. Nous avons vu le baseball, le singe et la guerre des étoiles dans la liste des pires mots de passe. Ceux-ci aussi sont faciles à casser.

Certains sites Web sécurisés se verrouillent après un certain nombre de tentatives de mot de passe erronées, mais beaucoup ne le font pas. Pour ceux qui n'ont pas de verrouillage par erreur, les pirates peuvent croiser une liste d'adresses e-mail avec une liste de mots de passe populaires et mettre en place un processus automatisé pour continuer à essayer des combinaisons jusqu'à ce qu'ils entrent.

Un site Web correctement sécurisé ne stocke votre mot de passe nulle part. Au lieu de cela, il exécute le mot de passe via un algorithme de hachage, une sorte de cryptage à sens unique. La même entrée produit toujours la même sortie, mais il n'y a aucun moyen de revenir au mot de passe d'origine à partir du hachage résultant. Si le mot de passe que vous tapez hache la même valeur que celle qui est stockée, vous obtenez l'accès. Même si les pirates capturent les données des utilisateurs du site, ils n'obtiennent pas de mots de passe, juste des hachages.

Mais les pirates intelligents peuvent déchiffrer des mots de passe faibles même lorsqu'ils sont hachés, s'ils connaissent la fonction de hachage utilisée par le site. Ils commencent par exécuter un énorme dictionnaire de mots de passe courants via la fonction de hachage. Ensuite, ils recherchent les hachages résultants dans les données capturées. Chaque match est un mot de passe fissuré. Les sites avec la meilleure sécurité améliorent la fonction de hachage avec une technique appelée salage, qui rend impossible ce type de craquage basé sur des tables, mais pourquoi prendre le risque ? Restez juste en dehors du dictionnaire.

Penser différemment

Une amie m'a dit un jour son mot de passe parfait : 1qaz2wsx3edc4rfv. Elle pouvait le "taper" en faisant simplement glisser un doigt sur les quatre colonnes inclinées du clavier. C'était tellement parfait qu'elle l'utilisait partout. Et ce fut une grosse erreur.

Il ne se passe pratiquement pas une semaine sans que l'on ait connaissance d'une violation dans une entreprise ou un site Web, exposant des milliers ou des millions de noms d'utilisateur et de mots de passe. Les victimes intelligentes changent immédiatement leurs mots de passe. Ceux qui ignorent le problème peuvent se retrouver bloqués sur leurs propres comptes après que les pirates ont réinitialisé le mot de passe.

Ces pirates savent que trop de gens recyclent leurs mots de passe. Une fois qu'ils ont trouvé une paire de nom d'utilisateur et de mot de passe qui fonctionne, ils essaient les mêmes informations d'identification sur d'autres sites. Vous ne craignez peut-être pas de perdre l'accès à votre compte Club Penguin, mais si vous avez utilisé le même identifiant sur le site Web de votre banque, vous aurez de gros problèmes.

Ça s'empire. Si quelqu'un d'autre prend le contrôle de votre compte de messagerie, il peut d'abord vous bloquer en modifiant le mot de passe. Ensuite, ils peuvent s'introduire dans vos autres comptes en leur envoyant un lien de réinitialisation du mot de passe par e-mail. Inquiet encore?

Ne soyez pas personnel

Utiliser des informations personnelles comme base pour vos mots de passe est terriblement tentant, mais c'est une mauvaise idée. Il y a de fortes chances que le nom de votre chien apparaisse dans les dictionnaires que les pirates utilisent pour les attaques par force brute. D'autres possibilités telles que les initiales et la date de naissance d'un membre de la famille ne tomberont probablement pas dans le cadre d'une attaque par force brute, mais si quelqu'un veut pirater votre compte spécifiquement, ces données personnelles peuvent alimenter une attaque par tâtonnement.

Ne pensez pas une minute que vos données personnelles sont privées. Il existe des dizaines de sites que les gens peuvent utiliser pour trouver des détails sur n'importe qui : adresse, date de naissance, état civil, etc. Vos publications sur les réseaux sociaux peuvent être une autre source d'informations personnelles, surtout si vous n'avez pas correctement sécurisé vos comptes. Un pirate informatique déterminé (ou un voisin curieux) peut probablement deviner n'importe quel mot de passe que vous créez en fonction de vos propres données.

Fermez la porte arrière

Si vous n'utilisez pas de gestionnaire de mots de passe, vous avez sûrement déjà oublié le mot de passe d'un site. C'est trop courant, c'est pourquoi pratiquement chaque page de connexion inclut un "Mot de passe oublié?" lien. Certains sites envoient un lien de réinitialisation à votre adresse e-mail, tandis que d'autres vous permettent de réinitialiser le mot de passe après avoir répondu à vos questions de sécurité. Et cela ouvre une porte dérobée à quiconque voulant pirater votre compte.

La plupart des sites offrent des options abyssales pour les questions de sécurité. Quel est le nom de jeune fille de ta mère? où es-tu allé au lycée? Quel était votre premier emploi? Comme indiqué, votre vie personnelle est un livre ouvert pour toute personne ayant des compétences en recherche sur Internet. Dans la mesure du possible, ignorez les questions prédéfinies. Créez votre propre question, avec une réponse unique dont vous vous souviendrez toujours mais que personne d'autre ne pourrait deviner.

C'est plus difficile lorsque le site ne vous permet pas de définir vos propres questions. Dans ce cas, votre meilleur pari est d'utiliser une réponse mémorable qui est un mensonge total. Le nom de jeune fille de ma mère est Obama. Je suis allé à l'école au Lycée des martyrs communistes. Pour mon premier emploi, j'étais dompteur de lions. Il y a un élément de risque, puisque vous pourriez oublier quel mensonge vous avez choisi. Je suggérerais de stocker ces réponses bizarres sous forme de notes sécurisées dans votre gestionnaire de mots de passe… mais si vous utilisiez un gestionnaire de mots de passe, il se serait souvenu du mot de passe pour vous.

Que faire maintenant que vous vous souciez

J'espère vous avoir convaincu que l'utilisation de mots de passe communs est une idée pourrie, tout comme la création de mots de passe à partir d'informations personnelles. Et même le meilleur mot de passe fort et aléatoire devient un handicap si vous l'utilisez partout. Si vous êtes prêt à passer à l'action, voici quelques points de départ :

• Utilisez un gestionnaire de mots de passe.
• Passez à un meilleur gestionnaire de mots de passe.
• Rappelez-vous un mot de passe principal incroyablement sécurisé pour votre gestionnaire de mots de passe.
• Profitez d'un générateur de mots de passe aléatoires pour mettre à jour vos anciens mots de passe erronés.
• Vous pouvez même créer votre propre générateur de mots de passe aléatoires dans Excel.
• Activez l'authentification à deux facteurs partout où elle est disponible.

Si un site sécurisé ne prend pas en charge la sécurité, vous pouvez toujours perdre les informations d'identification de ce site en raison d'une violation de données, mais en rendant tous vos mots de passe longs, forts et uniques, vous avez fait tout ce que vous pouviez pour protéger vos comptes en ligne.

Et hé! Maintenant que vous êtes sur la bonne voie, en termes de sécurité, envisagez d'ajouter un réseau privé virtuel ou VPN. L'utilisation de mots de passe forts pour les sites sécurisés signifie que les autres ne peuvent pas pénétrer dans vos comptes ; l'ajout d'un VPN signifie qu'il n'y a aucune chance que quiconque puisse intercepter votre connexion à ces sites sécurisés.