Si vous pratiquez une gestion et une hygiène laxistes des mots de passe, ce n’est qu’une question de temps avant que l’une des violations de sécurité de plus en plus nombreuses et à grande échelle ne vous brûle. Arrêtez d'être reconnaissant d'avoir esquivé les anciennes balles de brèche de sécurité et de vous armer contre les futures. Continuez à lire pendant que nous vous montrons comment vérifier vos mots de passe et vous protéger.
Quel est le problème et pourquoi est-ce important?
En octobre de cette année, Adobe a révélé qu'il y avait eu une faille de sécurité majeure affectant 3 millions d'utilisateurs d'Adobe.com et des logiciels Adobe. Puis ils ont révisé le nombre à 38 millions. Puis, encore plus choquant, lorsque la base de données du piratage a été divulguée, les chercheurs en sécurité qui ont analysé la base de données sont revenus et ont dit que c'était plus comme 150 millions comptes d'utilisateurs compromis. Ce degré d'exposition de l'utilisateur met la faille Adobe en cours d'exécution comme l'une des pires failles de sécurité de l'histoire.
Adobe n'est cependant pas le seul sur ce front; nous avons simplement ouvert leur brèche parce qu'elle est douloureusement récente. Au cours des dernières années seulement, il y a eu des dizaines de failles de sécurité massives où les informations des utilisateurs, y compris les mots de passe, ont été compromises.
LinkedIn a été touché en 2012 (6,46 millions d'enregistrements d'utilisateurs compromis). Cette même année, eHarmony a été touché (1,5 million d'enregistrements d'utilisateurs) tout comme Last.fm (6,5 millions d'enregistrements d'utilisateurs) et Yahoo! (450 000 enregistrements d'utilisateurs). Le Sony Playstation Network a été touché en 2011 (101 millions d'enregistrements d'utilisateurs compromis). Gawker Media (la société mère de sites comme Gizmodo et Lifehacker) a été touchée en 2010 (1,3 million d'enregistrements d'utilisateurs compromis). Et ce ne sont là que des exemples de grandes brèches qui ont fait l'actualité!
Le Centre d'échange des droits de confidentialité une base de données des failles de sécurité de 2005 à nos jours . Leur base de données comprend un large éventail de types de violations: cartes de crédit compromises, numéros de sécurité sociale volés, mots de passe volés et dossiers médicaux. La base de données, dès la publication de cet article, est composée de 4033 manquements contenant 617.937.023 enregistrements d'utilisateurs . Toutes ces centaines de millions de violations n'impliquaient pas des mots de passe d'utilisateurs, mais des millions et des millions d'entre elles le faisaient.
EN RELATION: Comment récupérer une fois votre mot de passe de messagerie compromis
Alors pourquoi est-ce important? Outre les implications évidentes et immédiates d'une violation sur la sécurité, les violations créent des dommages collatéraux. Les pirates peuvent immédiatement commencer à tester les identifiants et les mots de passe qu'ils récoltent sur d'autres sites Web.La plupart des gens sont paresseux avec leurs mots de passe, et il y a de fortes chances que si quelqu'un utilise [email protected] avec le mot de passe bob1979, le même couple login / mot de passe fonctionnera sur d'autres sites Web. Si ces autres sites Web sont plus connus (comme les sites bancaires ou si le mot de passe qu'il a utilisé chez Adobe déverrouille réellement sa boîte de réception), alors il y a un problème. Une fois que quelqu'un a accès à votre boîte de réception, il peut commencer à réinitialiser le mot de passe sur d'autres services et y accéder également.
La seule façon d'empêcher ce type de réaction en chaîne de causer encore plus de problèmes de sécurité au sein du réseau de sites Web et de services que vous utilisez est de suivre deux règles cardinales d'une bonne hygiène des mots de passe:
- Votre mot de passe de messagerie doit être long, solide et totalement unique parmi toutes vos connexions.
- Chaque login obtient un mot de passe long, fort et unique. Aucune réutilisation de mot de passe. Déjà.
Ces deux règles sont les points à retenir de tous les guides de sécurité que nous avons jamais partagés avec vous, y compris notre guide d'urgence it-has-the-fan Comment récupérer une fois que votre mot de passe de messagerie est compromis .
Maintenant, à ce stade, vous vous tortillez probablement un peu car, franchement, presque personne n'a des pratiques de mot de passe et de sécurité parfaitement hermétiques. Vous n’êtes pas seul si l’hygiène de votre mot de passe fait défaut. En fait, il est temps de se confesser.
J'ai rédigé des dizaines d'articles sur la sécurité, des articles sur les failles de sécurité et d'autres articles liés aux mots de passe au fil des ans où je suis chez How-To Geek. En dépit d'être précisément le genre de personne informée qui devrait mieux savoir, malgré l'utilisation d'un gestionnaire de mots de passe et la génération de mots de passe sécurisés pour chaque nouveau site Web et service, lorsque j'ai passé mon courrier électronique via le liste des connexions Adobe compromises et je l'ai comparé au mot de passe compromis, j'ai quand même découvert que je m'étais brûlé.
J'ai créé ce compte Adobe il y a longtemps, alors que j'étais beaucoup plus laxiste avec l'hygiène de mon mot de passe, et le mot de passe que j'ai utilisé était courant douzaines de sites Web et de services auxquels je m'étais inscrit avant de devenir très sérieux dans la création de bons mots de passe.
Tout cela aurait pu être évité si j'avais pleinement mis en pratique ce que j'ai prêché et pas seulement créé des mots de passe uniques et forts, mais vérifié mes anciens mots de passe pour s'assurer que cette situation ne s'est jamais produite. Que vous n'ayez même jamais essayé d'être cohérent et sécurisé avec vos pratiques en matière de mots de passe ou que vous deviez simplement les vérifier pour vous mettre à l'aise, un audit approfondi des mots de passe est la voie vers la sécurité et la tranquillité d'esprit. Continuez à lire pendant que nous vous montrons comment.
Préparation de votre défi de sécurité Lastpass
Vous pouvez auditer manuellement vos mots de passe, mais cela serait extrêmement fastidieux et vous ne bénéficieriez d'aucun des avantages de l'utilisation d'un bon universel gestionnaire de mots de passe . Au lieu de tout auditer manuellement, nous allons prendre la voie la plus simple et largement automatisée: nous allons auditer nos mots de passe en participant au LastPass Security Challenge.
Ce guide ne couvre pas la configuration de LastPass. Par conséquent, si vous n'avez pas encore de système LastPass opérationnel, nous vous encourageons vivement à en configurer un. Check-out Le guide HTG pour démarrer avec LastPass pour commencer. Bien que LastPass ait été mis à jour depuis que nous avons écrit le guide (l'interface est beaucoup plus jolie et mieux rationalisée maintenant), vous pouvez toujours suivre les étapes avec facilité. Si vous configurez LastPass pour la première fois, assurez-vous d'importer tout vos mots de passe stockés dans vos navigateurs, car notre objectif est de vérifier chaque mot de passe que vous utilisez.
Entrez chaque identifiant et mot de passe dans LastPass: Que vous soyez nouveau sur LastPass ou que vous ne l'ayez pas entièrement utilisé à chaque connexion, le moment est venu de vous assurer que vous avez bien saisi chaque connectez-vous au système LastPass. Nous allons faire écho aux conseils que nous avons donnés notre guide de récupération des e-mails pour peigner votre boîte de réception pour les rappels:
Recherchez dans votre e-mail des rappels d'inscription. Il ne sera pas difficile de se souvenir de vos identifiants fréquemment utilisés comme Facebook et votre banque, mais il existe probablement des dizaines de services de dépense dont vous ne vous souvenez peut-être même pas que vous utilisez votre e-mail pour vous connecter. Utilisez des recherches par mots clés comme "Bienvenue dans", "Réinitialiser", "Récupération", "Vérifier", "Mot de passe", "Nom d'utilisateur", "Connexion", "Compte" et des combinaisons comme "Réinitialiser le mot de passe" ou "Vérifier le compte" . Encore une fois, nous savons que c'est un problème, mais une fois que vous avez fait cela avec un gestionnaire de mots de passe à vos côtés, vous avez une liste principale de tous vos comptes et vous n'aurez plus jamais à refaire cette recherche de mots clés.
Activez l'authentification à deux facteurs sur votre compte LastPass: Cette étape n'est pas strictement nécessaire pour effectuer l'audit de sécurité, mais tant que nous avons votre attention, nous ferons tout notre possible pour vous encourager, pendant que vous vous amusez dans votre compte LastPass, à activer l'authentification à deux facteurs pour sécuriser davantage votre coffre-fort LastPass. (Non seulement cela augmente la sécurité de votre compte, mais vous obtiendrez également une amélioration de votre score d'audit de sécurité!)
Relever le défi de sécurité LastPass
Maintenant que vous avez importé tous vos mots de passe, il est temps de vous préparer à la honte de ne pas faire partie du 1% des ninjas inconditionnels de la sécurité des mots de passe. Visiter le Défi de sécurité LastPass page et appuyez sur «Démarrer le défi» au bas de la page. Vous serez invité à entrer votre mot de passe principal, comme indiqué dans la capture d'écran ci-dessus, puis LastPass vous proposera de vérifier si l'une des adresses e-mail contenues dans votre coffre-fort faisait partie des violations qu'il a suivies. Il n'y a aucune bonne raison de ne pas en profiter:
Si vous avez de la chance, cela renvoie un négatif. Si vous avez de la chance, vous obtenez une fenêtre contextuelle comme celle-ci vous demandant si vous souhaitez plus d'informations sur les violations dans lesquelles votre e-mail a été impliquée:
LastPass émettra une seule alerte de sécurité pour chaque instance. Si vous possédez votre adresse e-mail depuis longtemps, soyez surpris du nombre de violations de mot de passe dans lesquelles elle a été mêlée. Voici un exemple d'avis de violation de mot de passe:
Après les fenêtres contextuelles, vous serez redirigé vers le panneau principal du LastPass Security Challenge. Rappelez-vous plus tôt dans le guide lorsque j'ai parlé de la façon dont je pratique actuellement une bonne hygiène des mots de passe, mais que je n'avais jamais réussi à mettre à jour correctement de nombreux sites et services Web plus anciens? Cela se voit vraiment dans le score que j'ai reçu. Aie:
C’est mon score avec des années de mots de passe aléatoires mélangés. Ne soyez pas trop choqué si votre score est encore plus bas si vous avez utilisé la même poignée de mots de passe faibles encore et encore. Maintenant que nous avons notre score (aussi impressionnant ou honteux qu'il puisse être), il est temps de fouiller dans les données. Vous pouvez utiliser les liens rapides à côté de votre pourcentage de score ou simplement commencer à faire défiler. Commençons par vérifier les résultats détaillés. Considérez ceci comme un aperçu de l'état de vos mots de passe de 10 000 pieds:
Bien que vous devriez prêter attention à toutes les statistiques ici, les plus importantes sont «Force moyenne du mot de passe», la faiblesse ou la force de votre mot de passe moyen et, plus important encore, «Nombre de mots de passe en double» et «Nombre de sites ayant des mots de passe en double ». Dans le cadre de ma vérification, il y a eu 8 dupes sur 43 sites. De toute évidence, j'avais été assez paresseux en réutilisant le même mot de passe de bas niveau sur plus de quelques sites.
Prochain arrêt, la section Sites analysés. Vous trouverez ici une ventilation très concrète de tous vos identifiants et mots de passe organisés par utilisation de mot de passe en double (si vous aviez des doublons), mots de passe uniques, et enfin, connexions sans mot de passe stocké dans LastPass. Pendant que vous parcourez la liste, émerveillez-vous devant le contraste entre la force des mots de passe. Dans mon cas, l'un de mes identifiants financiers a reçu un score de mot de passe de 45%, tandis que la connexion Minecraft de ma fille a reçu un score parfait de 100%. Encore une fois, aïe.
Correction de votre terrible score de défi de sécurité
Il existe deux liens très utiles intégrés directement dans les listes d'audit. Si vous cliquez sur «AFFICHER», il vous montrera le mot de passe de ce site et si vous cliquez sur «Visiter le site», vous pouvez accéder directement au site Web afin de pouvoir modifier le mot de passe. Non seulement chaque mot de passe dupliqué doit être changé, mais tout mot de passe associé à un compte violé (comme Adobe.com ou LinkedIn) doit être définitivement retiré.
Selon le nombre ou le nombre de mots de passe dont vous disposez (et le degré de diligence que vous avez appliqué aux bonnes pratiques en matière de mots de passe), cette étape du processus peut vous prendre dix minutes ou tout l’après-midi. Bien que le processus de modification de vos mots de passe varie en fonction de la mise en page du site que vous mettez à jour, voici quelques consignes générales à suivre (nous utilisons notre mise à jour de mot de passe sur Remember the Milk à titre d'exemple): Visitez la page de changement de mot de passe . En règle générale, vous devrez saisir votre mot de passe actuel, puis générer un nouveau mot de passe.
Faites-le en cliquant sur le logo de verrouillage avec flèche circulaire. LastPass s'insère dans le nouvel emplacement de mot de passe (comme le montre la capture d'écran ci-dessus). Regardez votre nouveau mot de passe et effectuez les ajustements si vous le souhaitez (comme l'allonger ou l'ajout de caractères spéciaux):
Cliquez sur "Utiliser le mot de passe", puis confirmez que vous souhaitez mettre à jour l'entrée que vous modifiez:
Assurez-vous de confirmer également le changement avec le site Web. Répétez le processus pour chaque mot de passe en double et faible dans votre coffre-fort LastPass.
Enfin, la dernière chose que vous devez vérifier est votre mot de passe principal LastPass. Faites-le en cliquant sur le lien au bas de l'écran du défi intitulé «Testez la force de mon mot de passe principal LastPass». Si vous ne voyez pas ceci:
Vous devez réinitialiser votre mot de passe principal LastPass et augmenter la force jusqu'à ce que vous receviez une belle confirmation positive de force à 100%.
Analyser les résultats et améliorer encore votre sécurité LastPass
Une fois que vous avez parcouru la liste des mots de passe en double, supprimé les anciennes entrées et par ailleurs rangé et sécurisé votre liste de connexion / mot de passe, il est temps de réexécuter l'audit. Maintenant, pour mettre l'accent, le score que vous voyez ci-dessous a été soulevé uniquement en améliorant la sécurité des mots de passe. (Si vous activez des fonctionnalités de sécurité supplémentaires, comme authentification multifacteur , vous recevrez un bonus d’environ 10%).
Pas mal! Après avoir éliminé chaque mot de passe en double et porté tous les mots de passe existants à 90% ou mieux, cela a vraiment amélioré notre score. Si vous êtes curieux de savoir pourquoi il n'a pas atteint 100%, il y a quelques facteurs en jeu, le plus important étant que certains mots de passe ne peuvent jamais être mis à jour par les normes LastPass en raison des politiques stupides mises en place par le administrateurs du site. Par exemple, le mot de passe de connexion de ma bibliothèque locale est un code PIN à quatre chiffres (qui obtient un score de 4% sur l'échelle de sécurité LastPass). La plupart des gens auront une sorte de valeurs aberrantes comme celle-là dans leur liste et cela fera baisser leur score.
Dans de tels cas, il est important de ne pas vous décourager et d'utiliser votre ventilation détaillée comme une statistique:
Dans le processus de mise à jour du mot de passe, j'ai élagué 17 sites en double / expirés, créé un mot de passe unique pour chaque site et service, et réduit le nombre de sites avec des mots de passe en double de 43 à 0 dans le processus.
Cela n'a pris qu'environ une heure de temps sérieusement concentré (dont 12,4% ont été consacrés à maudire les concepteurs de sites Web qui mettent des liens de mise à jour de mot de passe dans des endroits obscurs), et tout ce qu'il a fallu pour me motiver était une violation de mot de passe aux proportions catastrophiques! Je fais une note ici, un énorme succès.
Maintenant que vous avez vérifié vos mots de passe et que vous êtes enthousiasmé par le fait d'avoir une gamme de mots de passe uniques, profitons de cette dynamique. Frapper notre guide pour créer LastPass même plus sûr en augmentant les itérations de mot de passe, en limitant les connexions par pays, etc. Entre l'exécution de l'audit décrit ici, le suivi de notre guide de sécurité LastPass et l'activation d'algorithmes à deux facteurs, vous disposerez d'un système de gestion des mots de passe à toute épreuve dont vous pourrez être fier.
