Les mots de passe sont un élément essentiel de notre vie numérique. Mais malgré leur omniprésence, il existe une grande confusion autour des mots de passe et de la manière dont ils doivent être utilisés correctement. Dans cet article, nous reviendrons aux bases et examinerons les mots de passe en général ainsi que certains problèmes et solutions spécifiques.
mots de passe
De nombreuses personnes utilisent des mots de passe faibles, tels que le nom d'un animal de compagnie pour un site Web ou un anniversaire comme code d'accès téléphonique (tous deux facilement discernables sur les réseaux sociaux). En fait, les violations de données révèlent que 123456 est systématiquement le mot de passe le plus couramment utilisé! Bien que ceux-ci puissent avoir l’avantage d’être faciles à mémoriser, ils permettent également à un adversaire de deviner plus facilement votre mot de passe par force brute.
Le moyen le plus simple de créer et de mémoriser des mots de passe complexes consiste à utiliser un gestionnaire de mots de passe. Pour les mots de passe que vous ne devez pas stocker dans un gestionnaire, vous pouvez utiliser trois mots aléatoires créer un mot de passe suffisamment complexe mais néanmoins mémorisable. Ceci sera abordé plus en détail dans le prochain article de cette série, mais, pour l'instant, les mots de passe que vous devez créer et mémoriser manuellement sont :
- Mots de passe pour vos appareils.
- Mot de passe principal pour votre gestionnaire de mots de passe.
- Mot de passe pour synchroniser vos mots de passe entre appareils (s'il est différent du mot de passe principal).
- Mot de passe de votre compte de messagerie.
Outre les mots de passe faibles, une autre erreur courante consiste à réutiliser le même mot de passe pour plusieurs services. Le problème est que s’il est compromis à un endroit, ce mot de passe permettra alors d’accéder à vos données dans tous les autres emplacements où vous l’avez utilisé.
Mais pourquoi cela devrait-il être important si vous ne divulguez jamais votre mot de passe à un tiers ? Le problème, ce sont les services qui stockent vos données. Les fournisseurs de services responsables doivent chiffrer votre mot de passe lorsqu'ils le stockent et utiliser un nombre aléatoire (appelé sel) pour le rendre encore plus difficile à déchiffrer. Si un fournisseur ne parvient pas à le faire ou commet une erreur dans la mise en œuvre du cryptage, un adversaire pourra obtenir votre mot de passe sans que vous le divulguiez. Si vous avez réutilisé le même mot de passe avec d'autres services, l'adversaire a désormais accès à vos informations sensibles à plusieurs endroits.
Ainsi, afin de contenir les dégâts causés par un mot de passe compromis, vous devez utiliser un complexe et expérience unique et authentique mot de passe pour chaque service.
Verrouillage
Un mot de passe est analogue à la combinaison utilisée pour ouvrir un coffre-fort. La combinaison n'est pas la seule chose qui protège le contenu d'un coffre-fort contre tout accès non autorisé, la serrure elle-même joue un rôle crucial.
Dans le monde physique, les adversaires peuvent accéder au coffre-fort sans la combinaison : un verrou faible peut être crocheté (comme pour deviner un mot de passe par force brute), détruit ou contourné (comme pour le piratage), ou peut même ne pas limiter l'accès dans le premier temps. lieu, s'il existe d'autres moyens d'entrer.
Dans le monde numérique, la plupart des fournisseurs de cloud utilisent des verrous faibles car leur personnel peut accéder à vos données sur leurs systèmes. Ce « verrou » faible peut être la vulnérabilité qu'un adversaire utilise pour accéder à vos informations en forçant le personnel ou en obligeant l'entreprise à remettre vos données.
L’un des avantages du monde numérique par rapport au monde physique est le cryptage. En principe, le cryptage constitue le verrou ultime. Sans la clé, un adversaire devrait deviner le mot de passe, ce qui prendrait beaucoup de temps – à condition que le mot de passe soit suffisamment fort.
En général, les plateformes en ligne dotées de verrous puissants auront probablement le cryptage parmi leurs principaux arguments de vente. Vous devez donc savoir lesquels de vos services utilisent des verrous forts et lesquels ne le font pas. Malheureusement, de nombreux services ont adopté un langage autour du chiffrement de bout en bout et du chiffrement au repos, par exemple, qui suggérerait la présence d'un verrou fort, mais ils utilisent ces termes pour signifier autre chose. Vous devrez donc examiner les services de près et rechercher des termes tels que « connaissance nulle » ou des déclarations affirmant que vous seul pouvez accéder à vos données. La lecture de critiques en ligne peut vous aider. Une autre bonne indication de la présence d'un verrouillage fort est un avertissement indiquant qu'une réinitialisation du mot de passe vous fera perdre l'accès à vos données si vous n'avez pas préalablement configuré une méthode de récupération de compte.
De même, une bonne indication que votre appareil utilise le cryptage est si vous avez reçu un avertissement lors de la configuration concernant la perte de vos données si vous oubliez votre mot de passe. Vous pouvez également vérifier les paramètres de BitLocker sous Windows ou FileVault sous macOS, par exemple.
Contournement
Malheureusement, vérifier tous vos verrous métaphoriques pour vous assurer qu'ils utilisent le cryptage et garantir que tous vos mots de passe sont complexes et uniques ne suffit pas, car les mots de passe peuvent être contournés.
De nombreux smartphones et autres appareils permettent aux utilisateurs de contourner la saisie de leur mot de passe en fournissant des données biométriques, telles que votre empreinte digitale ou votre visage. Cela ne rend pas le verrou faible – il repose toujours sur le cryptage – et la force de votre mot de passe n'a pas d'importance. Votre visage et vos empreintes digitales sont désormais un autre facteur que vous devez protéger contre un adversaire. La solution la plus sûre consiste à sacrifier la convivialité et à désactiver cette fonctionnalité.
Ce problème ne se limite pas à la biométrie. Un adversaire qui compromet votre compte de messagerie peut alors utiliser la fonctionnalité de réinitialisation du mot de passe sur un autre service auquel il souhaite accéder afin d'éviter d'avoir à saisir le mot de passe correct. De plus, certaines plateformes permettent d'accéder à un appareil via un compte en ligne. Par exemple, les appareils Apple et ceux exécutant Windows peuvent utiliser respectivement les comptes iCloud et Microsoft pour déverrouiller à distance tous les appareils connectés à ces comptes. La configuration d'une authentification à deux facteurs (2FA) sur votre compte de messagerie peut atténuer ces menaces.
Enfin, you peut être le contournement. Le phishing est couramment utilisé pour obtenir les informations de connexion des appareils et des comptes. L'authentification à deux facteurs peut encore une fois atténuer ce problème. Compte tenu de son importance, nous aborderons le 2FA pour les appareils et les services dans un prochain article de cette série.
Conclusion
Il est essentiel que vous suiviez les conseils habituels pour utiliser des mots de passe complexes et uniques pour protéger vos informations. Cependant, ce n’est pas le seul facteur à prendre en compte ; vous devez également examiner les « serrures » et les éventuels contournements. Cela garantira que les efforts que vous consacrez aux mots de passe apporteront l’avantage en matière de sécurité que vous attendez. Dans le prochain article, nous examinerons les gestionnaires de mots de passe et comment ils peuvent vous aider dans cette tâche.