Les gens disent que leurs comptes en ligne ont été «piratés», mais comment ce piratage se produit-il exactement? La réalité est que les comptes sont piratés de manière assez simple - les attaquants n’utilisent pas de magie noire.
La connaissance est le pouvoir. Comprendre comment les comptes sont réellement compromis peut vous aider à sécuriser vos comptes et à éviter que vos mots de passe ne soient «piratés» en premier lieu.
Réutiliser les mots de passe, en particulier ceux qui fuient
Beaucoup de gens - peut-être même la plupart des gens - réutilisent les mots de passe pour différents comptes. Certaines personnes peuvent même utiliser le même mot de passe pour chaque compte qu'elles utilisent. Ceci est extrêmement dangereux. De nombreux sites Web - même de grands sites bien connus comme LinkedIn et eHarmony - ont vu leurs bases de données de mots de passe divulguées au cours des dernières années. Bases de données de mots de passe divulgués ainsi que les noms d'utilisateur et les adresses e-mail sont facilement accessibles en ligne. Les attaquants peuvent essayer ces combinaisons d'adresses e-mail, de nom d'utilisateur et de mots de passe sur d'autres sites Web et accéder à de nombreux comptes.
La réutilisation d'un mot de passe pour votre compte de messagerie vous met encore plus en danger, car votre compte de messagerie pourrait être utilisé pour réinitialiser tous vos autres mots de passe si un attaquant y avait accès.
Quelle que soit votre capacité à sécuriser vos mots de passe, vous ne pouvez pas contrôler dans quelle mesure les services que vous utilisez sécurisent vos mots de passe. Si vous réutilisez les mots de passe et qu'une entreprise dérape, tous vos comptes seront menacés. Vous devez utiliser des mots de passe différents partout - un gestionnaire de mots de passe peut vous aider .
Enregistreurs de frappe
Les keyloggers sont des logiciels malveillants qui peuvent s'exécuter en arrière-plan, enregistrant chaque frappe de touche que vous effectuez. Ils sont souvent utilisés pour capturer des données sensibles telles que les numéros de carte de crédit, les mots de passe bancaires en ligne et d'autres informations d'identification de compte. Ils envoient ensuite ces données à un attaquant via Internet.
Ces logiciels malveillants peuvent arriver via des exploits - par exemple, si vous utilisez une version obsolète de Java , comme la plupart des ordinateurs sur Internet, vous pouvez être compromis via une applet Java sur une page Web. Cependant, ils peuvent également arriver déguisés dans d'autres logiciels. Par exemple, vous pouvez télécharger un outil tiers pour un jeu en ligne. L'outil peut être malveillant, capturer votre mot de passe de jeu et l'envoyer à l'attaquant via Internet.
Utilisez un programme antivirus décent , gardez votre logiciel à jour et évitez de télécharger des logiciels non fiables.
Ingénierie sociale
Les attaquants utilisent également couramment des astuces d'ingénierie sociale pour accéder à vos comptes. Phishing est une forme communément connue d'ingénierie sociale - essentiellement, l'attaquant se fait passer pour quelqu'un et vous demande votre mot de passe. Certains utilisateurs remettent facilement leurs mots de passe. Voici quelques exemples d'ingénierie sociale:
- Vous recevez un e-mail qui prétend provenir de votre banque, vous dirigeant vers un faux site Web bancaire et vous demandant de renseigner votre mot de passe.
- Vous recevez un message sur Facebook ou tout autre site Web social d'un utilisateur qui prétend être un compte Facebook officiel, vous demandant d'envoyer votre mot de passe pour vous authentifier.
- Vous visitez un site Web qui promet de vous offrir quelque chose de précieux, comme des jeux gratuits sur Steam ou de l'or gratuit dans World of Warcraft. Pour obtenir cette fausse récompense, le site Web nécessite votre nom d'utilisateur et votre mot de passe pour le service.
Faites attention à qui vous donnez votre mot de passe - ne cliquez pas sur les liens dans les e-mails et n'accédez pas au site Web de votre banque, ne donnez pas votre mot de passe à quiconque vous contacte et le demande, et ne donnez pas les informations d'identification de votre compte à des personnes non fiables. sites Web, en particulier ceux qui semblent trop beaux pour être vrais.
Répondre aux questions de sécurité
Les mots de passe peuvent souvent être réinitialisés en répondant à des questions de sécurité. Les questions de sécurité sont généralement incroyablement faibles - souvent des choses comme «Où êtes-vous né?», «Dans quel lycée êtes-vous allé?» Et «Quel était le nom de jeune fille de votre mère?». Il est souvent très facile de trouver ces informations sur les sites de réseautage social accessibles au public, et la plupart des gens normaux vous diront à quelle école secondaire ils sont allés si on leur demandait. Grâce à ces informations faciles à obtenir, les attaquants peuvent souvent réinitialiser les mots de passe et accéder aux comptes.
Idéalement, vous devriez utiliser des questions de sécurité avec des réponses qui ne sont pas faciles à découvrir ou à deviner. Les sites Web doivent également empêcher les utilisateurs d'accéder à un compte simplement parce qu'ils connaissent les réponses à quelques questions de sécurité, et certains le font, mais d'autres pas.
Réinitialisation du compte de messagerie et du mot de passe
Si un attaquant utilise l'une des méthodes ci-dessus pour accéder à vos comptes de messagerie , vous avez de plus gros problèmes. Votre compte de messagerie fonctionne généralement comme votre compte principal en ligne. Tous les autres comptes que vous utilisez y sont liés, et toute personne ayant accès au compte de messagerie peut l'utiliser pour réinitialiser vos mots de passe sur n'importe quel nombre de sites sur lesquels vous vous êtes inscrit avec l'adresse e-mail.
Pour cette raison, vous devez sécuriser votre compte de messagerie autant que possible. Il est particulièrement important d’utiliser un mot de passe unique et de le protéger soigneusement.
Qu'est-ce que le mot de passe "Hacking" n'est pas
La plupart des gens imaginent probablement des attaquants essayant chaque mot de passe possible pour se connecter à leur compte en ligne. Cela ne se produit pas. Si vous tentiez de vous connecter au compte en ligne de quelqu'un et que vous continuiez à deviner les mots de passe, vous seriez ralenti et empêché d'essayer plus d'une poignée de mots de passe.
Si un attaquant était capable d'accéder à un compte en ligne simplement en devinant des mots de passe, il est probable que le mot de passe était quelque chose d'évident qui pouvait être deviné lors des premiers essais, comme "mot de passe" ou le nom de l'animal de compagnie de la personne.
Les attaquants ne pouvaient utiliser ces méthodes de force brute que s'ils avaient un accès local à vos données. Par exemple, supposons que vous stockiez un fichier chiffré dans votre compte Dropbox et que les attaquants y aient accès et téléchargeaient le fichier chiffré. Ils pourraient alors essayer de force brute le cryptage , essentiellement en essayant chaque combinaison de mot de passe jusqu'à ce qu'elle fonctionne.
Les personnes qui disent que leurs comptes ont été «piratés» sont probablement coupables de réutilisation des mots de passe, d'installation d'un enregistreur de frappe ou de communication de leurs informations d'identification à un attaquant après des astuces d'ingénierie sociale. Ils peuvent également avoir été compromis à la suite de questions de sécurité faciles à deviner.
Si vous prenez les mesures de sécurité appropriées, il ne sera pas facile de «pirater» vos comptes. Utilisation de l'authentification à deux facteurs peut également aider - un attaquant aura besoin de plus que votre mot de passe pour entrer.
Image Credit: Robbert van der Steeg sur Flickr , asenat sur Flickr
