[POSTER] 10 conseils pour des mots de passe plus sûrs
Chaque jour, la presse spécialisée fait état d’intrusions informatiques. Ces dernières années, des milliards de comptes de services très populaires et de sites comme LinkedIn ou Yahoo ont été piratés. Et des identifiants sont vendus en masse sur le marché noir, parfois des mois ou des années après une intrusion. Que devez-vous faire pour protéger vos comptes ?
10 conseils pour vous aider à sécuriser vos comptes
- De manière générale, utiliser le même mot de passe pour plusieurs sites est une mauvaise idée.
Attention si vous réutilisez les mêmes mots de passe pour plusieurs sites : si l’un d’eux est hacké et que les pirates obtiennent votre mot de passe, ils tenteront de l’utiliser pour d’autres sites. Des listes de mots de passe, issues d’anciennes intrusions, circulent et peuvent être utilisées par les pirates, même des années après. Par ailleurs, si vous utilisez des structures de mots de passe prévisibles, ces intrusions informatiques révèleront la manière dont vous constituez vos mots de passe.
- Protégez votre boite mail.
De nombreux sites autorisent la récupération du mot de passe via un lien ou un mot de passe temporaire envoyé par e-mail. Pour la récupération de vos mots de passe, utilisez une boîte mail distincte de celle que vous utilisez pour vos communications habituelles.
- Utilisez toujours l’authentification à deux facteurs lorsque celle-ci est disponible.
De nombreux services proposent ce système d’authentification supplémentaire. Un code de vérification aléatoire (généralement 6 chiffres) est envoyé sur votre téléphone portable, lors de votre identification. Cela ajoute un niveau de protection supplémentaire à votre compte.
- Pour rendre le crackage plus difficile, misez sur la longueur des mots de passe.
Des phrases simples mais longues sont plus efficaces que les courtes suites de caractères difficiles à retenir. Pour cracker la phrase « 1 like that you are protecting my Passw0rds », un super-ordinateur Tianhe-2, l’un des super-ordinateurs les plus rapides du monde, aurait besoin d’environ plusieurs centaines de milliers d’années.
- Choisissez des mots de passe que personne ne peut déduire à partir de votre vie ou vos habitudes. Ils ne doivent pas être en lien avec des informations publiques vous concernant.
De manière générale, soyez prudent quant aux informations que vous partagez en ligne. Les attaques visant à forcer votre mot de passe peuvent être neutralisées grâce à des mots de passe difficiles à deviner.
- Choisissez des mots de passe qui ne soient pas embarrassants.
Si les mots de passe fuitent en clair, ou si les fonctions de hachage sont crackées, votre mot de passe pourrait être rendu public.
- Utilisez des gestionnaires de mots de passe pour générer des mots de passe suffisamment complexes.
En utilisant la fonctionnalité permettant de générer des mots de passe, vous n’aurez plus besoin de les concevoir vous-même. Le gestionnaire le fait pour vous. Avec les programmes les plus évolués, vous pouvez générer des mots de passe atteignant 32 caractères, aléatoires et presque incrackables. Si votre mot de passe est assez complexe, les pirates ne pourront s’en servir que s’ils accèdent aux mots de passe en texte clair.
- Souscrivez à un service d’alerte comme Have I Been Pwned?
Ils vous diront si votre e-mail figure sur une liste détenue par les pirates suite à une intrusion informatique. Vous serez alors en mesure de procéder aux changements qui s’imposent.
- Refusez la mémorisation des mots de passe sur votre navigateur.
Lorsque vous naviguez sur Chrome, Safari, Firefox, ou tout autre navigateur, une option vous permet de mémoriser votre mot de passe. En cliquant sur oui, vous prenez un risque.
- Dernier conseil : pour l’identification par empreinte digitale, utilisez un doigt avec lequel vous ne touchez pas votre écran
En d’autres mots, utilisez l’auriculaire ou le pouce plutôt que l’index pour la reconnaissance biométrique.
À quoi ressemblent ces attaques ?
Il existe différents types d’attaques utilisés pour accéder à des comptes utilisateurs et mots de passe. Voilà une liste des tactiques les plus communément employées :
Attaques visant à forcer le mot de passe en ligne (ou « bruteforcing »)
Le pirate tente d’accéder à votre compte sur un service internet, à partir d’une liste de mots de passe communément utilisés, ou d’informations publiques vous concernant.
Piratage de la méthode de hachage
Si le pirate a obtenu l’accès aux mots de passe d’un service en ligne mais que ces derniers sont stockés sous un format haché, il devra les cracker. Pour cela, il devra mobiliser des outils tels que hashcat, ou bien comparer le hash du mot de passe avec celui d’un mot de passe deviné. De puissants processeurs graphiques peuvent être utilisé à cette fin.
Ingénierie sociale et phishing
Le pirate tente de vous faire consulter un site malveillant, qui simule la page d’identification d’un service que vous êtes susceptible d’utiliser. Lorsque vous entrez vos identifiants, ceux-ci sont envoyés au pirate en question. Ce dernier peut aussi vous demander directement votre mot de passe ou les réponses à votre question de sécurité, s’il existe une fonction de réinitialisation du mot de passe.
Attaque visant les questions pour la réinitialisation des mots de passe
Le pirate tente de répondre aux questions de réinitialisation des mots de passe en utilisant des informations publiques vous concernant.
10 conseils pour des mots de passe plus sûrs : téléchargez le poster !
Nous avons préparé un poster afin de vous rappeler (à vous ainsi qu’à vos collaborateurs) ces quelques conseils. Vous pouvez télécharger le poster ci-dessous. Nous espérons qu’il vous sera utile !
TELECHARGEZ LE POSTER
[fsecure-eloqua name=”Poster%2010%20conseils%20pour%20des%20mots%20de%20passe%20plus%20s%C3%BBrs” url=”http://images.news.f-secure.com/Web/FSecure/%7b636945f2-1fcc-4050-a9ae-071a55087d14%7d_FR_-_2017-04-11-f-secure-10-security-tips-poster-FR.pdf” description=”Poster%2010%20conseils%20pour%20des%20mots%20de%20passe%20plus%20s%C3%BBrs”]
Catégories