Michael Fisher
0 
3718
747
Lorsque nous nous inscrivons à un nouveau service en ligne, nous sommes invariablement invités à créer un mot de passe. Cela sécurise immédiatement le nouveau compte. Si vous y tenez, choisissez une longue chaîne de caractères complètement aléatoire ou laissez une application de gestion de mots de passe se charger du travail. Guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Le guide complet pour simplifier et sécuriser votre vie avec LastPass et Xmarks Bien que le cloud permette d'accéder facilement à vos informations importantes où que vous soyez, cela signifie également que vous avez de nombreux mots de passe à surveiller. C'est pourquoi LastPass a été créé. pour vous. Ensuite dans la séquence viennent des questions de sécurité.
Ces questions demandent généralement le nom de jeune fille de votre mère, le nom de votre école primaire, le nom de votre premier animal de compagnie, etc. Conçues pour protéger nos comptes des pirates informatiques potentiels, les questions de sécurité doivent constituer une ligne de défense supplémentaire..
Comment répondez-vous à ces questions? Dites-vous la vérité, toute la vérité et rien que la vérité? Malheureusement, votre véracité pourrait créer une faille inattendue dans votre armure en ligne. Jetons un coup d'oeil à comment vous devrait être en train de répondre à ces questions.
Une barrière de protection
Les indices de mot de passe sont sans aucun doute utiles. Un indice utile sera affiché si vous oubliez votre mot de passe Windows. Et ceci après une seule tentative infructueuse. Dans le cas du mot de passe Windows, votre indice devrait vous rafraîchir la mémoire. Cela vous rappelle d'utiliser un indice que vous avez sélectionné pour que vous puissiez être aussi crypté ou ouvert que vous le souhaitez..
Les questions de sécurité sont différentes. Nous faisons régulièrement face aux combinaisons de questions familières que j'ai mentionnées ci-dessus et fournissons volontiers des réponses précises. Les questions de sécurité sont présentées comme une ligne de défense supplémentaire. Cependant, vous devriez considérer la relative facilité d'obtenir certaines des réponses dans la société ultra-connectée d'aujourd'hui..
Comment créer une question de sécurité que personne ne peut deviner? Comment créer une question de sécurité que personne ne peut deviner Ces dernières semaines, j’ai beaucoup écrit sur la façon de rendre des comptes en ligne récupérables. Une option de sécurité typique consiste à configurer une question de sécurité. Bien que cela offre potentiellement un moyen rapide et facile de…. Pouvons-nous avoir confiance en une mesure de sécurité dont les réponses peuvent être facilement découvertes??
Je le fais mal?
Comment repérer et éviter 10 des techniques de piratage les plus insidieuses? Comment repérer et éviter les 10 techniques de piratage les plus insidieuses Voici 10 des techniques de piratage les plus insidieuses à éviter. Comment se protéger de ces 8 attaques d'ingénierie sociale Comment se protéger de ces 8 attaques d'ingénierie sociale Quelles techniques d'ingénierie sociale un pirate informatique utiliserait-il et comment vous vous protégez d'eux? Jetons un coup d'œil à certaines des méthodes d'attaque les plus courantes. . Pour aggraver les choses, si votre compte utilise des questions et des réponses extrêmement spécifiques, un attaquant peut éliminer d'autres mots de passe potentiels..
Par exemple, si la question de sécurité était “Où avez-vous acheté votre première voiture?” l'attaquant peut immédiatement ignorer d'autres réponses plus faciles.
Je suis sûr que vous avez déjà trouvé la solution évidente à ce problème de sécurité. Si l'attaquant recherche une réponse qui vous concerne directement, pourquoi ne pas utiliser quelque chose de complètement différent?
- Quel est le nom de jeune fille de ta mère? fa1c0npunc4
- Où avez-vous rencontré votre épouse? b1cycl3tyr3
- Quel était le nom de votre premier animal de compagnie? n0str0d4mu5
Ok, ce sont des exemples terribles, mais vous comprenez ma dérive. Si la réponse est a) obscure et b) utilise des caractères aléatoires, vous définissez immédiatement la barre de sécurité de vos comptes légèrement supérieure. Avez-vous déjà effectué ces 5 premières étapes pour sécuriser vos comptes en ligne? Avez-vous pris ces 5 premières étapes pour sécuriser vos comptes en ligne? Il est étonnant de constater combien de personnes ignorent ces bases de la sécurisation en ligne. Ces cinq sites Web et outils facilitent la sécurité en ligne.. .
Et cela me rendra en sécurité?
Plus sûr, ami, mais pas tout à fait en sécurité.
Vous voyez, en 2015, Google a publié un document intéressant explorant les leçons apprises concernant les questions de sécurité. Utilisant leur ensemble de données presque inégalé pour analyser les questions secrètes posées par leur base d'utilisateurs monumentale, ils ont cherché à comprendre toute l'efficacité de cette couche de sécurité supplémentaire..
Crédit d'image: Google Blog
Notre analyse confirme que les questions secrètes offrent généralement un niveau de sécurité bien inférieur aux mots de passe choisis par l'utilisateur. Il se révèle même être plus bas que des approximations telles que la distribution réelle des noms de famille dans la population indiquerait.
De manière surprenante, nous avons constaté qu'une des causes majeures de cette insécurité est le fait que les utilisateurs ne répondent souvent pas de manière véridique. Une enquête auprès des utilisateurs que nous avons menée a révélé qu’une fraction importante des utilisateurs (37%) ayant admis avoir fourni de fausses réponses l’avait fait pour tenter de les rendre “plus difficile à deviner” bien que dans l'ensemble, ce comportement ait eu l'effet inverse, les “durcir” leurs réponses de manière prévisible.
Crédit d'image: Recherche chez Google
Pourquoi essayons-nous de mentir, mais alors le faisons-nous si mal? Comme vous pouvez le constater dans le tableau ci-dessus, la majorité des répondants ont fourni de fausses réponses, estimant que cela renforcerait leur sécurité. Nous pouvons alors supposer que le grand public (même s'il s'agit d'un petit instantané d'une énorme base de données) comprend que les questions de sécurité peuvent et seront utilisées à son encontre..
L’équipe de recherche de Google a finalement conclu que les questions de sécurité étaient quelque peu sécurisées ou faciles à retenir, mais la combinaison d’or est rare à trouver. Par conséquent “alors que Google préfère la récupération de SMS et de courrier électronique, aucun mécanisme n'est parfait.”
Un premier exemple
Malheureusement, Google a refusé de proposer la taille réelle de la base de données utilisée pour l'étude. Cependant, ils ont confirmé que “les données considérées contiennent des centaines de millions de points de données et chaque question analysée avait plus d'un million de réponses.” Chiffres substantiels, compte tenu de leur base d'utilisateurs estimée.
En 2016, United Airlines a déployé son nouveau système de sécurité mis à jour pour ses comptes clients. L'ancien système qui reposait sur des codes confidentiels à 4 chiffres était à juste titre jugé inapproprié pour les comptes contenant potentiellement des centaines de milliers de dollars de miles de voyageurs fréquents. Le système mis à jour demande aux utilisateurs de saisir un mot de passe unique et de répondre à cinq questions de sécurité personnelles..
Ça sonne bien, non? Sauf que United Airlines demande à ses clients de choisir un mot de passe fort et unique et de répondre à leurs questions en utilisant un ensemble de réponses préordonné. C'est vrai: réponses préordonnées. Par exemple, si vous choisissez la question “En quel mois est l'anniversaire de ton meilleur ami,” vous l'avez deviné, vos éventuels attaquants n'ont que douze réponses à donner. Moments difficiles.
Raison unie “la majorité des problèmes de sécurité auxquels nos clients sont confrontés peut être attribuée à des virus informatiques enregistrant le dactylographie, et l'utilisation de réponses prédéfinies protège contre ce type d'intrusion..”
Le chercheur en sécurité Brian Krebs a parlé directement à Benjamin Vaughn, directeur du renseignement de sécurité informatique chez United Airlines. Vaughn a déclaré la compagnie “randomisait les questions pour confondre les programmes de bots qui cherchent à automatiser la soumission des réponses, et que les questions de sécurité mal répondues seraient «verrouillées» et non posées à nouveau.”
"Les questions de sécurité sont le moyen le moins sûr de sécuriser quoi que ce soit." Rik Ferguson @TrendMicro # AISA2016
- Tracey Spicer (@TraceySpicer) 19 octobre 2016
En outre, Vaughn a confirmé à Krebs que plusieurs tentatives infructueuses aboutiraient à un compte verrouillé. Par conséquent, l'utilisateur doit communiquer directement avec United Airlines pour déverrouiller son compte..
Sagesse conventionnelle
United Airlines a identifié une vulnérabilité en matière de sécurité, mais leur réponse n'a pas entièrement résolu le problème. Comme nous l’avons vu, le seul moyen vraiment sûr de répondre à une question de sécurité consiste, tout comme un mot de passe, à fournir quelque chose de vraiment unique et aléatoire. Ceci dans l'espoir que les pirates potentiels seront frustrés par la complexité et passeront au compte suivant..
La conclusion selon laquelle le grand public souffre de fatigue liée à la sécurité est importante car elle a des implications sur le lieu de travail et dans la vie quotidienne des personnes. C'est essentiel parce que beaucoup de gens effectuent leurs opérations bancaires en ligne et que les soins de santé et d'autres informations précieuses sont transférés sur Internet..
Si les gens ne peuvent pas utiliser la sécurité, ils ne le feront pas, et nous et notre pays ne serons pas en sécurité.
- Psychologue cognitif et Fatigue de sécurité co-auteur, Brian Stanton
Hélas, la fatigue liée à la sécurité est un problème très réel. Les utilisateurs sont de plus en plus fatigués. Les failles de sécurité et les réinitialisations forcées de mots de passe sont maintenant si courantes que de nombreux utilisateurs ignorent simplement les alertes. Cette fatigue conduit à un comportement risqué des utilisateurs à la maison et sur leur lieu de travail. Nous suggestons:
- Automatiser - Prenez le contrôle de votre sécurité et automatisez les analyses et les sauvegardes. Ne payez pas - Comment battre Beat Ransomware! Ne payez pas - Comment battre Ransomware! Imaginez si quelqu'un se présentait à votre porte et disait: "Hé, il y a des souris chez vous que vous ne saviez pas. Donnez-nous 100 $ et nous nous en débarrasserons." C'est le Ransomware… et plus.
- Gestion de mot de passe - Les solutions de gestion de mots de passe disponibles dans LastPass Maîtrisez vos mots de passe définitivement avec le défi sécurité de Lastpass 'Maîtrisez vos mots de passe définitivement avec le défi Sécurité de Lastpass' Nous passons tellement de temps en ligne, avec autant de comptes, qu'il est très difficile de se souvenir des mots de passe. Préoccupé par les risques? Découvrez comment utiliser le Challenge de sécurité de LastPass pour améliorer votre sécurité. ou KeyPass, et ils s’occupent tous les deux de vos questions de sécurité.
- Prendre possession - La sécurité de vos données est votre responsabilité. Nous attendons beaucoup des institutions détenant nos données, et à juste titre. Cela dit, si vous n’imposez pas de mesures de sécurité strictes chez vous, vous serez en partie responsable.
Nous avons beaucoup écrit sur la lutte contre la fatigue liée à la sécurité. Trois façons de vaincre la fatigue liée à la sécurité et de rester en ligne. Trois manières de vaincre la fatigue et de rester en sécurité Moins sécurisé. Voici trois choses que vous pouvez faire pour vaincre la fatigue liée à la sécurité et rester en sécurité. . Lisez-le et reprenez le contrôle de vos questions de sécurité.!
Comment répondez-vous à vos questions de sécurité? Avez-vous frappé le sweet spot? Ou utilisez-vous une application de gestion de mot de passe? Faites-nous savoir vos astuces de sécurité ci-dessous!