Comment les sites Web protègent-ils vos mots de passe?

  • Michael Cain
  • 0
  • 1565
  • 189
Publicité

Nous passons rarement un mois sans entendre parler d'une sorte de violation de données; Il peut s'agir d'un service actualisé tel que Gmail. Votre compte Gmail figure-t-il parmi 42 millions de références perdues? Votre compte Gmail figure-t-il parmi 42 millions de références perdues? ou quelque chose que la plupart d'entre nous ont oublié, comme MySpace Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook Tracks Everybody, MySpace Got Hacked… [Tech News Digest] Facebook suit tout le monde sur le Web, des millions de références MySpace sont en vente, Amazon apporte Alexa à votre navigateur, No Man's Sky souffre d'un retard et Pong Project prend forme. .

Facteur dans notre prise de conscience croissante de la façon dont Google divulgue nos informations confidentielles. Google le sait probablement. Cinq choses que Google connait probablement de vous, médias sociaux (notamment Facebook Facebook Privacy: 25 choses que le réseau social connaît de vous Facebook Privacy: 25 choses que le réseau social connaît à votre sujet Facebook connaît une quantité surprenante de personnes - informations que nous donnons volontairement. Vous pouvez ainsi vous connecter à un groupe démographique, enregistrer vos "goûts" et surveiller vos relations. Voici 25 choses que Facebook connaît de…) , et même nos propres smartphones Quel est le système d'exploitation mobile le plus sécurisé? Quel est le système d'exploitation mobile le plus sécurisé? Luttant pour le titre de système d'exploitation le plus sécurisé pour mobile, nous avons: Android, BlackBerry, Ubuntu, Windows Phone et iOS. Quel système d'exploitation est le meilleur pour se défendre contre les attaques en ligne? et personne ne peut vous reprocher d'être un peu paranoïaque quant à la manière dont les sites Web considèrent un mot aussi important que votre mot de passe. Comment choisir un mot de passe fort, utiliser un mot de passe unique partout et les mémoriser? Comment sécurisez-vous vos comptes? Comment… .

En fait, pour la tranquillité d’esprit, c’est quelque chose que tout le monde a besoin de savoir…

Le pire scénario: texte brut

Considérez ceci: un site Web majeur a été piraté. Les cybercriminels ont violé toutes les mesures de sécurité élémentaires nécessaires, en tirant peut-être avantage d'une faille dans leur architecture. Vous êtes un client Ce site a stocké vos coordonnées. Heureusement, votre mot de passe est sécurisé.

Sauf que le site stocke votre mot de passe sous forme de texte brut.

C'était toujours une bombe à retardement. Les mots de passe en texte brut n'attendent que d'être pillés. Ils n'utilisent aucun algorithme pour les rendre illisibles. Les pirates peuvent le lire aussi simplement que vous lisez cette phrase.

C'est une pensée effrayante, n'est-ce pas? Peu importe la complexité de votre mot de passe, même s'il est composé de pi à 30 chiffres: une base de données en texte brut est une liste des mots de passe de chacun, clairement énoncés, y compris les chiffres et les caractères supplémentaires que vous utilisez. Même si les hackers ne pas craquer le site, voulez-vous vraiment que l'administrateur puisse voir vos informations de connexion confidentielles?

# c4news

J'utilise toujours un bon mot de passe fort, comme Hercules ou Titan, et je n'ai jamais eu de problèmes…

- Ne vous embêtez pas (@emilbordon) 16 août 2016

Vous pensez peut-être que c'est un problème très rare, mais on estime que 30% des sites Web de commerce électronique utilisent cette méthode pour: “garantir” vos données - en fait, il existe un blog entier consacré à la mise en évidence de ces délinquants! Jusqu'à l'année dernière, même la LNH stockait les mots de passe de cette manière, tout comme Adobe avant une violation majeure..

De manière choquante, entreprise de protection antivirus, McAfee utilise également du texte brut.

Un moyen simple de savoir si un site l'utilise est le suivant: si, juste après votre inscription, vous recevez un e-mail contenant les informations de connexion. Très risqué. Dans ce cas, vous pouvez modifier n'importe quel site avec le même mot de passe et contacter l'entreprise pour l'avertir que leur sécurité est préoccupante..

Cela ne signifie pas nécessairement qu'ils les stockent sous forme de texte brut, mais c'est un bon indicateur - et ils ne devraient vraiment pas envoyer ce genre de chose de toute façon dans des courriels. Ils peuvent faire valoir qu'ils ont des pare-feu et al. pour se protéger contre les cybercriminels, mais rappelez-leur qu'aucun système n'est irréprochable et ne craignez pas de perdre des clients devant eux.

Ils vont bientôt changer d'avis. Espérons…

Pas aussi bon que ça en a l'air: chiffrement

Alors, que font ces sites??

Beaucoup se tourneront vers le cryptage. Nous en avons tous entendu parler: une manière apparemment impénétrable de brouiller vos informations, de les rendre illisibles jusqu'à ce que deux clés - l'une détenue par vous (c'est votre identifiant), et l'autre par la société en question - soient présentées. C'est une excellente idée que vous devriez même mettre en œuvre sur votre smartphone. 7 raisons de chiffrer les données de votre smartphone 7 raisons de chiffrer les données de votre smartphone Encodez-vous votre appareil? Tous les principaux systèmes d'exploitation pour smartphones offrent le cryptage des appareils, mais devriez-vous l'utiliser? Voici pourquoi le cryptage sur un smartphone en vaut la peine et n’affectera pas la façon dont vous utilisez votre smartphone. et autres appareils.

Internet fonctionne sur le cryptage: lorsque HTTPS apparaît dans l’URL HTTPS Everywhere: utilisez HTTPS au lieu de HTTP si possible HTTPS Everywhere: utilisez HTTPS au lieu de HTTP si possible, cela signifie que votre site utilise soit la couche Secure Sockets Layer ( SSL) Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Qu'est-ce qu'un certificat SSL et en avez-vous besoin? Naviguer sur Internet peut être effrayant lorsque des informations personnelles sont impliquées. ou des protocoles TLS (Transport Layer Security) permettant de vérifier les connexions et d’alimenter les données. Comment la navigation Web devient encore plus sécurisée Comment la navigation Web devient encore plus sécurisée Nous avons des certificats SSL à remercier pour notre sécurité et notre confidentialité. Mais les failles et les failles récentes peuvent avoir entamé votre confiance dans le protocole cryptographique. Heureusement, SSL s’adapte, est en cours de mise à jour - voici comment. .

Mais malgré ce que vous avez entendu, ne croyez pas ces 5 mythes sur le cryptage! Ne croyez pas ces 5 mythes sur le cryptage! Le chiffrement semble complexe, mais est beaucoup plus simple que la plupart des gens ne le pensent. Néanmoins, vous pourriez vous sentir un peu trop dans le noir pour utiliser le cryptage, alors détruisons quelques mythes sur le cryptage! , le cryptage n'est pas parfait.

Whaddya signifie que mon mot de passe ne peut pas contenir d'espaces arrière ???

- Derek Klein (@rogue_analyst) 11 août 2016

Ce devrait être sûr, mais c'est aussi sûr que l'endroit où les clés sont stockées. Si un site Web protège votre clé (mot de passe) à l’aide de la leur, un pirate informatique peut exposer cette dernière afin de la trouver et de la déchiffrer. Pour trouver votre mot de passe, le voleur demande relativement peu d'effort. c'est pourquoi les bases de données clés sont une cible massive.

Fondamentalement, si leur clé est stockée sur le même serveur que le vôtre, votre mot de passe peut aussi bien être en texte brut. C’est pourquoi le site PlainTextOffenders mentionné ci-dessus répertorie également les services qui utilisent un cryptage réversible..

Étonnamment simple (mais pas toujours efficace): hachage

Maintenant, nous allons quelque part. Le hachage de mots de passe ressemble à du jargon absurde Jargon technologique: apprendre 10 nouveaux mots récemment ajouté au dictionnaire [étrange et merveilleux Web] Jargon technologique: apprendre 10 nouveaux mots récemment ajouté au dictionnaire [étrange et merveilleux Web] La technologie est à l'origine de nombreux nouveaux mots . Si vous êtes un geek et un amoureux des mots, vous adorerez ces dix logiciels ajoutés à la version en ligne du dictionnaire Oxford English Dictionary. , mais c'est simplement une forme de cryptage plus sécurisée.

Au lieu de stocker votre mot de passe sous forme de texte brut, un site l'exécute au moyen d'une fonction de hachage, telle que MD5 Ce que tout cela MD5 signifie en réalité [Technologie expliquée] Ce que tout ce que MD5 Hache substance signifie réellement [Technologie expliquée] Voici un aperçu complet de MD5, le hachage et un petit aperçu des ordinateurs et de la cryptographie. , SHA (-1), ou SHA-256, qui le transforme en un ensemble de chiffres totalement différent; il peut s'agir de chiffres, de lettres ou de tout autre caractère. Votre mot de passe pourrait être IH3artMU0. Cela pourrait se transformer en 7dVq $ @ ihT, et si un pirate informatique s'introduisait dans une base de données, c'est tout ce qu'il peut voir. Et cela ne fonctionne que dans un sens. Vous ne pouvez pas le décoder.

Malheureusement, ce n'est pas cette garantir. C'est mieux que du texte en clair, mais cela reste assez standard pour les cybercriminels. La clé est qu'un mot de passe spécifique produit un hachage spécifique. Il y a une bonne raison à cela: chaque fois que vous vous connectez avec le mot de passe IH3artMU0, il transmet automatiquement cette fonction de hachage et le site Web vous permet d'y accéder si ce hachage et celui de la base de données du site correspondent..

Cela signifie également que les pirates ont développé des tables arc-en-ciel, une liste de hachages, déjà utilisés par d’autres comme mots de passe, qu’un système sophistiqué peut rapidement exécuter comme une attaque en force. Que sont les attaques par force brute et comment vous protéger? Que sont les attaques par force brute et comment vous protéger? Vous avez probablement entendu l'expression "attaque par force brute". Mais qu'est ce que cela veut dire exactement? Comment ça marche? Et comment pouvez-vous vous protéger contre cela? Voici ce que vous devez savoir. . Si vous avez choisi un mot de passe incroyablement mauvais 25 Mots de passe à éviter, utilisez WhatsApp gratuitement… [Tech News Digest] 25 Mots de passe à éviter, utilisez WhatsApp gratuitement… [Tech News Digest] Les gens continuent d'utiliser des mots de passe terribles, WhatsApp est maintenant totalement gratuit, AOL envisage de changer de nom, Valve approuve un jeu créé par un fan de Half-Life et The Boy With a Camera for a Face. , qui sera haut sur les tables arc-en-ciel et pourrait être facilement fissuré; les plus obscurs - des combinaisons particulièrement étendues - prendront plus de temps.

Comment peut-il être mauvais? En 2012, LinkedIn avait piraté ce que vous devez savoir sur la fuite massive de comptes LinkedIn Ce que vous devez savoir sur la fuite massive de comptes LinkedIn Un pirate vend 117 millions d’informations d’identité LinkedIn piratées sur le Web pour environ 2 200 $ en Bitcoin. Kevin Shabazi, PDG et fondateur de LogMeOnce, nous aide à comprendre exactement ce qui est à risque. . Les adresses électroniques et les hachages correspondants ont été divulgués. Cela représente 177,5 millions de hachages, touchant 164,6 millions d'utilisateurs. Vous pensez peut-être que ce n'est pas une préoccupation majeure: ce ne sont que des chiffres aléatoires. Assez indéchiffrable, non? Deux craquelins professionnels ont décidé de prélever un échantillon de 6,4 millions de hachages et de voir ce qu'ils pouvaient faire..

Ils ont craqué 90% d'entre eux en un peu moins d'une semaine.

Aussi bon qu'il soit: salage et hachages lents

Mythbusters: Un conseil de sécurité dangereux, vous ne devriez pas suivre Mythbusters: Un conseil de sécurité dangereux, vous ne devriez pas suivre Lorsqu'il est question de sécurité Internet, tout le monde et son cousin ont le conseil de vous proposer les meilleurs logiciels à installer sur des sites douteux. pour rester à l’écart des meilleures pratiques en matière de… - les pirates informatiques s’efforceront naturellement de casser tout nouveau système de sécurité - mais les techniques plus robustes mises en œuvre par les sites les plus sécurisés Chaque site Web sécurisé le fait avec votre mot de passe Chaque site Web sécurisé le fait avec votre Mot de passe Vous êtes-vous déjà demandé comment les sites Web protègent votre mot de passe contre les violations de données? sont des hachages plus intelligents.

Les hachages salés sont basés sur la pratique d'un nonce cryptographique, un ensemble de données aléatoires généré pour chaque mot de passe individuel, généralement très long et très complexe. Ces chiffres supplémentaires sont ajoutés au début ou à la fin d'un mot de passe (ou d'une combinaison adresse-mot de passe) avant qu'il ne passe par la fonction de hachage, afin de lutter contre les tentatives effectuées à l'aide de tables arc-en-ciel.

Peu importe généralement si les sels sont stockés sur les mêmes serveurs que les hachages; craquer un ensemble de mots de passe peut prendre énormément de temps pour les pirates, encore plus difficile si votre mot de passe lui-même est excessif et compliqué 6 conseils pour créer un mot de passe indestructible dont vous pouvez vous souvenir 6 conseils pour créer un mot de passe indestructible que vous pouvez vous rappeler pas unique et incassable, vous pourriez aussi bien ouvrir la porte d'entrée et inviter les voleurs à déjeuner. . C'est pourquoi vous devez toujours utiliser un mot de passe fort, quelle que soit votre confiance en la sécurité d'un site..

Les sites Web qui prennent leur sécurité et, par extension, votre sécurité particulièrement au sérieux, se tournent de plus en plus vers les hachages lents. Les fonctions de hachage les plus connues (MD5, SHA-1 et SHA-256) existent depuis longtemps et sont largement utilisées car elles sont relativement faciles à mettre en œuvre et permettent d'appliquer des hachages très rapidement..

Traitez votre mot de passe comme une brosse à dents, changez-le régulièrement et ne le partagez pas.!

- Anti-Bullying Pro (de l'association caritative The Diana Award) (@AntiBullyingPro) 13 août 2016

Tout en appliquant des sels, les hashes lents sont encore meilleurs pour lutter contre les attaques basées sur la vitesse; en limitant le nombre de tentatives de piratage par seconde, il leur faut plus de temps pour résoudre les problèmes, ce qui rend les tentatives moins rentables, compte tenu également du taux de réussite plus bas. Les cybercriminels doivent se demander s’il vaut la peine de s’attaquer aux systèmes de hachage lent qui prennent beaucoup de temps par rapport “réparations rapides”: les institutions médicales ont généralement moins de sécurité 5 raisons pour lesquelles le vol d'identité médical augmente 5 raisons pour lesquelles le vol d'identité médical augmente Les fraudeurs veulent vos informations personnelles et vos informations de compte bancaire - mais saviez-vous que vos dossiers médicaux les intéressent également? Découvrez ce que vous pouvez faire à ce sujet. Par exemple, les données pouvant être obtenues à partir de là-bas peuvent toujours être vendues pour des sommes surprenantes. Voici ce que votre identité pourrait valoir sur le Web sombre Voici ce que votre identité pourrait mériter sur le Web sombre Il est difficile de penser à vous-même. comme une marchandise, mais tous vos détails personnels, du nom et adresse aux détails de compte bancaire, valent quelque chose pour les criminels en ligne. Combien valez-vous? .

C'est également très adaptatif: si un système est soumis à des contraintes particulières, il peut ralentir encore plus. Coda Hale, l'ancien développeur de logiciel principal de Microsoft, compare MD5 à peut-être la fonction de hachage lente la plus notable, bcrypt (d'autres incluent PBKDF-2 et scrypt):

“Au lieu de déchiffrer un mot de passe toutes les 40 secondes [comme avec MD5], je le craquerais tous les 12 ans environ (lorsqu'un système utilise bcrypt). Vos mots de passe n'ont peut-être pas besoin de ce type de sécurité et vous avez besoin d'un algorithme de comparaison plus rapide, mais bcrypt vous permet de choisir votre équilibre entre vitesse et sécurité..”

Et puisqu'un hachage lent peut toujours être mis en œuvre en moins d'une seconde, les utilisateurs ne devraient pas être affectés.

Pourquoi est-ce important?

Lorsque nous utilisons un service en ligne, nous concluons un contrat de confiance. Vous devez savoir que vos informations personnelles sont protégées..

"Mon ordinateur portable est configuré pour prendre une photo après trois tentatives de mot de passe incorrect" pic.twitter.com/yBNzPjnMA2

- Les chats dans l'espace (@CatsLoveSpace) 16 août 2016

Stocker votre mot de passe en toute sécurité Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Alors que le cloud vous permet d’accéder facilement à vos informations importantes où que vous soyez, cela signifie avoir beaucoup de mots de passe pour garder une trace. C'est pourquoi LastPass a été créé. est particulièrement important. Malgré de nombreux avertissements, nous utilisons souvent le même site pour différents sites. Par exemple, en cas de violation de Facebook, votre page Facebook a-t-elle été piratée? Voici comment savoir (et y remédier) votre Facebook a-t-il été piraté? Voici comment savoir (et y remédier) Il existe des mesures que vous pouvez prendre pour éviter d'être piraté sur Facebook, et des actions que vous pouvez faire si votre Facebook se fait pirater. , vos identifiants de connexion pour les autres sites que vous fréquentez avec le même mot de passe peuvent également constituer un livre ouvert pour les cybercriminels.

Avez-vous découvert des délinquants en texte brut? A quels sites faites-vous confiance implicitement? Selon vous, quelle est la prochaine étape pour le stockage sécurisé des mots de passe?

Crédits d'image: Africa Studio / Shutterstock, Mots de passe incorrects de Lulu Hoeller [N'est plus disponible]; Connexion par Automobile Italia; Fichiers de mots de passe Linux de Christiaan Colen; et salière de Karyn Christner.




Personne n'a encore commenté ce post.

De la technologie moderne, simple et abordable.
Votre guide dans le monde de la technologie moderne. Apprenez à utiliser les technologies et les gadgets qui nous entourent chaque jour et à découvrir des choses intéressantes sur Internet.